OpenBao は、OIDC ダイレクトコールバックモードに対してユーザー確認を欠いている

CVE-2026-33757 は、OpenBao というオープンソースの ID ベースのシークレット管理システムに影響を与えます。この脆弱性は、JWT/OIDC を介してログインする際に、callback_mode が direct に設定されたロールがある場合、ユーザーの確認がないことにあります。これにより、攻撃者は認証リクエストを開始し、「リモートフィッシング」を実行して、被害者に URL を訪問させ、攻撃者のセッションに自動的にログインさせることができます。認証コードフローに基づいているにもかかわらず、direct モードは API に直接コールバックを行うため、標準的な保護機能を回避します。この脆弱性は CVSS スコア 9.6 を持ち、重大なリスクを示しています。

Organizations utilizing OpenBao for secrets management, particularly those relying on JWT/OIDC authentication with roles configured for callback_mode: direct, are at significant risk. Shared hosting environments where OpenBao instances are deployed alongside other applications are also vulnerable, as a compromise of one instance could potentially lead to broader access.

• linux / server:

journalctl -u openbao | grep -i "callback_mode: direct"

• generic web:

curl -I <openbao_auth_endpoint> | grep -i "callback_mode"

1. 2026-03-27Disclosure

   disclosure

1. 予約済み2026-03-23
2. 公開日2026-03-27
3. 更新日2026-04-01
4. EPSS 更新日2026-04-04

CVE-2026-33757 の解決策は、OpenBao をバージョン 2.5.2 以降にアップデートすることです。このバージョンは、JWT/OIDC を使用してログインする際に、callbackmode が direct に設定されている場合にユーザーの確認がないことを修正します。リモートフィッシング攻撃のリスクを軽減するために、できるだけ早くこのアップデートを適用することを強くお勧めします。さらに、OpenBao 内のロール設定を確認し、callbackmode が絶対に必要でない限り direct に設定されていないことを確認してください。OpenBao のログを監視して、認証に関連する疑わしいアクティビティを検出します。