Ory Oathkeeper (CVE-2026-33494): パストラバーサル

Ory Oathkeeper の CVE-2026-33494 は、HTTP パス トラバーサルによる認可バイパスの脆弱性があります。攻撃者は、パス トラバーサルシーケンス (例: /public/../admin/secrets) を含む URL を作成し、正規化後に保護されたパスに解決できますが、生の正規化されていないパスがルール評価中に使用されるため、寛容なルールと一致します。これにより、機密性の高いリソースへの不正アクセスが発生する可能性があります。

Organizations relying on Ory Oathkeeper for authentication, particularly those with complex rule configurations or legacy deployments, are at risk. Shared hosting environments where Oathkeeper instances are configured with permissive rules are also particularly vulnerable.

• linux / server:

journalctl -u oathkeeper -g "path traversal"

• generic web:

curl -I 'http://your-oathkeeper-server/public/../admin/secrets' # Check for unexpected responses

• generic web:

grep -r '/../' /var/log/nginx/access.log # Look for path traversal attempts in access logs

1. 2026-03-20Disclosure

   disclosure

1. 予約済み2026-03-20
2. 公開日2026-03-20
3. 更新日2026-03-27
4. EPSS 更新日2026-04-03

この脆弱性に対する軽減策は、Ory Oathkeeper をバージョン 0.40.10-0.20260320084758-8e0002140491 以降にアップグレードすることです。このバージョンは、ルールが正規化されたパスを使用して評価されるように修正することで、認可バイパスを防ぎます。Oathkeeper ルールをレビューおよび更新して、セキュリティ原則に準拠し、攻撃対象領域を最小限に抑えることをお勧めします。