Ory Oathkeeper heeft een autorisatie-omzeiling via pad traversal

## Beschrijving Ory Oathkeeper is kwetsbaar voor een autorisatie-omzeiling via HTTP pad traversal. Een aanvaller kan een URL maken die pad traversal-sequenties bevat (bijv. `/public/../admin/secrets`) die na normalisatie resulteert in een beschermd pad, maar wordt gematcht met een permissieve regel omdat het ruwe, niet-genormaliseerde pad wordt gebruikt tijdens de regelevaluatie. ## Randvoorwaarden Ory Oathkeeper-regels worden doorgaans geconfigureerd met patronen zoals: ``` /public/<.*> → sta niet-geauthenticeerde toegang toe /admin/<.*> → vereis authenticatie ``` Zonder padnormalisatie wordt een verzoek aan `/public/../admin/secrets` gematcht met het ruwe pad `/public/../admin/secrets`. Dit komt overeen met de `/public/<.*>`-regel, waardoor de authenticatie die vereist is voor `/admin/secrets` wordt omzeild. Nadat Ory Oathkeeper het verzoek toestaat, normaliseert de upstream-server het pad en serveert de beschermde `/admin/secrets`-resource. ## Mitigatie In de toekomst normaliseert Ory Oathkeeper het verzoekpad voordat de regelmatching wordt uitgevoerd en voordat het wordt doorgestuurd. Het pad `/public/../admin/secrets` wordt genormaliseerd naar `/admin/secrets`, wat correct overeenkomt met de `/admin/<.*>`-regel en authenticatie activeert. Als onmiddellijke mitiga