OpenBao mist gebruikersbevestiging voor OIDC direct callback-modus

OpenBao is een open source identiteitsgebaseerd systeem voor geheimbeheer. Voor versie 2.5.2 vraagt OpenBao niet om gebruikersbevestiging bij het inloggen via JWT/OIDC en een rol met `callback_mode` ingesteld op `direct`. Dit stelt een aanvaller in staat om een authenticatieverzoek te starten en "remote phishing" uit te voeren door het slachtoffer de URL te laten bezoeken en automatisch in te loggen op de sessie van de aanvaller. Ondanks dat het gebaseerd is op de autorisatiecodestroom, roept de `direct`-modus rechtstreeks terug naar de API en stelt een aanvaller in staat om te pollen op een OpenBao-token totdat het is uitgegeven. Versie 2.5.2 bevat een extra bevestigingsscherm voor `direct`-type logins dat handmatige gebruikersinteractie vereist om de authenticatie te voltooien. Dit probleem kan worden omzeild door rollen met `callback_mode=direct` te verwijderen of door bevestiging af te dwingen voor elke sessie aan de token-uitgeverzijde voor de Client ID die door OpenBao wordt gebruikt.