プラットフォーム
go
コンポーネント
github.com/openbao/openbao
修正版
2.5.3
0.0.0-20260325133417-6e2b2dd84f0e
CVE-2026-33758は、OpenBaoにおけるXSS(クロスサイトスクリプティング)の脆弱性です。この脆弱性により、攻撃者は被害者のWeb UIで使用されるトークンにアクセスできます。github.com/openbao/openbaoに影響します。この問題はバージョン2.5.2で修正されています。
CVE-2026-33758 は、OIDC/JWT 認証を使用し、callbackmode=direct で構成されたロールを持つ OpenBao インストールに影響します。この脆弱性は、認証失敗ページ上の errordescription パラメータを介したクロスサイトスクリプティング (XSS) インジェクションにあります。攻撃者はこれを悪用して、被害者の Web UI で使用されているトークンにアクセスし、アカウントのセキュリティを損なう可能性があります。
攻撃者は、OIDC/JWT 認証応答を操作して、error_description パラメータに悪意のある JavaScript コードを挿入する可能性があります。ユーザーがログインを試行し、認証が失敗した場合、OpenBao はエラーページを表示し、ユーザーのブラウザで悪意のあるコードを実行します。これにより、攻撃者は認証トークンを盗み、OpenBao Web UI への不正アクセスを許可する可能性があります。
エクスプロイト状況
EPSS
0.12% (31% パーセンタイル)
CISA SSVC
確実な修正は、OpenBao バージョン 2.5.2 へのアップグレードです。ここで、errordescription パラメータは静的なエラーメッセージに置き換えられています。一時的な回避策として、callbackmode=direct で構成されたロールをすべて削除してください。これにより、攻撃対象領域が縮小され、この脆弱性の悪用を防ぐことができます。OpenBao インストールを保護するために、迅速な対応が不可欠です。
OpenBao をバージョン 2.5.2 以降に更新してください。または、`callback_mode` が `direct` に設定されているロールを削除してください。
脆弱性分析と重要アラートをメールでお届けします。
OIDC (OpenID Connect) と JWT (JSON Web Token) は、ユーザーの身元を検証し、アプリケーションとサービスへのアクセスを許可するために使用される認証プロトコルです。
callback_mode=direct を使用すると、OpenBao は認証の戻り値を直接処理できるようになり、この場合、XSS 脆弱性の入り口が開きます。
すぐに OpenBao バージョン 2.5.2 にアップグレードできない場合は、一時的な対策として callback_mode=direct で構成されたロールを削除してください。
OpenBao のバージョンは、管理ページまたはインストールドキュメントで確認できます。
この脆弱性は最近発見されましたが、パッチがリリースされる前に悪用されていた可能性があります。監査ログを調べて、疑わしい活動がないか確認することをお勧めします。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。