Platform
go
Component
github.com/ory/oathkeeper
Opgelost in
26.2.1
0.40.10-0.20260320084758-8e0002140491
CVE-2026-33494 is een Path Traversal kwetsbaarheid in Ory Oathkeeper, die een autorisatie bypass mogelijk maakt. Een aanvaller kan een URL maken met path traversal sequenties om toegang te krijgen tot beschermde paden. Dit komt doordat de ruwe, niet-genormaliseerde paden worden gebruikt tijdens de evaluatie van de regels. De kwetsbaarheid treft alle versies vóór 0.40.10-0.20260320084758-8e0002140491. Een fix is beschikbaar in versie 0.40.10-0.20260320084758-8e0002140491.
De CVE-2026-33494-kwetsbaarheid in Ory Oathkeeper maakt een autorisatie-omzeiling mogelijk via HTTP-pad traversal. Een aanvaller kan een URL maken die pad traversal-sequenties bevat (bijv. /public/../admin/secrets) die na normalisatie naar een beschermd pad leidt, maar overeenkomt met een permissieve regel omdat het ruwe, niet-genormaliseerde pad wordt gebruikt tijdens de regel evaluatie. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige resources.
Deze kwetsbaarheid wordt misbruikt door kwaadaardige URL's te maken die pad traversal-sequenties (zoals ../) gebruiken om toegang te krijgen tot directories of bestanden buiten de beoogde scope. Als een Oathkeeper-regel permissief is voor het niet-genormaliseerde pad, kan een aanvaller de autorisatiecontroles omzeilen en toegang krijgen tot beschermde resources. De effectiviteit van de exploitatie hangt af van de configuratie van Oathkeeper-regels en de server directory structuur.
Organizations relying on Ory Oathkeeper for authentication, particularly those with complex rule configurations or legacy deployments, are at risk. Shared hosting environments where Oathkeeper instances are configured with permissive rules are also particularly vulnerable.
• linux / server:
journalctl -u oathkeeper -g "path traversal"• generic web:
curl -I 'http://your-oathkeeper-server/public/../admin/secrets' # Check for unexpected responses• generic web:
grep -r '/../' /var/log/nginx/access.log # Look for path traversal attempts in access logsdisclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De mitigatie voor deze kwetsbaarheid is het upgraden naar versie 0.40.10-0.20260320084758-8e0002140491 van Ory Oathkeeper of hoger. Deze versie lost het probleem op door ervoor te zorgen dat regels worden geëvalueerd met behulp van het genormaliseerde pad, waardoor de autorisatie-omzeiling wordt voorkomen. Het wordt aanbevolen Oathkeeper-regels te beoordelen en bij te werken om ervoor te zorgen dat ze in lijn zijn met beveiligingsprincipes en de aanvalsoppervlakte minimaliseren.
Werk Ory Oathkeeper bij naar versie 26.2.0 of hoger. Deze versie bevat een correctie voor de (path traversal) kwetsbaarheid. De update voorkomt dat aanvallers autorisatie omzeilen door routes te manipuleren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Ory Oathkeeper is een open-source autorisatieserver die de toegang tot uw API's en applicaties controleert.
Als u een versie van Oathkeeper gebruikt vóór 0.40.10-0.20260320084758-8e0002140491, is de kans groot dat u getroffen bent.
HTTP-pad traversal is een techniek waarmee een aanvaller buiten de beoogde webdirectory kan navigeren met behulp van sequenties zoals ../ om toegang te krijgen tot bestanden of directories die niet toegankelijk zouden moeten zijn.
Als u niet onmiddellijk kunt upgraden, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot gevoelige resources en het zorgvuldig beoordelen van Oathkeeper-regels.
U kunt meer informatie over deze kwetsbaarheid vinden op de CVE-2026-33494-pagina in kwetsbaarheidsdatabases zoals NVD of in de Ory Oathkeeper-documentatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.