Platform
go
Component
openbao
Opgelost in
2.5.3
CVE-2026-33757 is een remote phishing kwetsbaarheid in OpenBao. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om een authenticatieverzoek te starten en "remote phishing" uit te voeren door het slachtoffer de URL te laten bezoeken en automatisch in te loggen op de sessie van de aanvaller. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft OpenBao versies lager dan 2.5.2. De kwetsbaarheid is verholpen in versie 2.5.2.
CVE-2026-33757 treft OpenBao, een open-source identity-based secrets management systeem. De kwetsbaarheid ligt in het ontbreken van gebruikersbevestiging bij het inloggen via JWT/OIDC en een rol met callback_mode ingesteld op direct. Dit stelt een aanvaller in staat een authenticatieverzoek te initiëren en 'remote phishing' uit te voeren door het slachtoffer te laten de URL bezoeken en automatisch in te loggen in de sessie van de aanvaller. Ondanks dat het gebaseerd is op de authorization code flow, maakt de direct-modus een directe callback naar de API, waardoor standaard beveiligingen worden omzeild. Deze kwetsbaarheid heeft een CVSS-score van 9.6, wat een kritisch risico aangeeft.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadaardige URL te creëren die een legitieme OpenBao inlogpagina nabootst. Door een gebruiker te verleiden deze URL te bezoeken, kan de aanvaller het authenticatieproces starten en, door de direct-configuratie, zou de gebruiker automatisch worden ingelogd in de sessie van de aanvaller. Dit zou de aanvaller in staat stellen de door OpenBao beheerde geheimen te benaderen met de rechten van de gecompromitteerde gebruiker. De eenvoud van exploitatie, gecombineerd met de ernst van de impact, maakt deze kwetsbaarheid een aanzienlijke bedreiging.
Organizations utilizing OpenBao for secrets management, particularly those relying on JWT/OIDC authentication with roles configured for callback_mode: direct, are at significant risk. Shared hosting environments where OpenBao instances are deployed alongside other applications are also vulnerable, as a compromise of one instance could potentially lead to broader access.
• linux / server:
journalctl -u openbao | grep -i "callback_mode: direct"• generic web:
curl -I <openbao_auth_endpoint> | grep -i "callback_mode"disclosure
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-33757 is het updaten van OpenBao naar versie 2.5.2 of hoger. Deze versie corrigeert het ontbreken van gebruikersbevestiging bij het inloggen met JWT/OIDC en callbackmode ingesteld op direct. We raden ten zeerste aan om deze update zo snel mogelijk toe te passen om het risico op remote phishing-aanvallen te beperken. Controleer bovendien de configuratie van uw rollen in OpenBao en zorg ervoor dat callbackmode niet is ingesteld op direct, tenzij dit absoluut noodzakelijk is en de beveiligingsimplicaties volledig worden begrepen. Bewaak OpenBao-logs op verdachte activiteiten met betrekking tot authenticatie.
Actualice OpenBao a la versión 2.5.2 o superior. Como alternativa, elimine cualquier rol con `callback_mode=direct` o fuerce la confirmación para cada sesión en el lado del emisor del token para el Client ID utilizado por OpenBao.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OpenBao is een open-source identity-based secrets management systeem.
Versie 2.5.2 corrigeert de kwetsbaarheid CVE-2026-33757, die remote phishing-aanvallen mogelijk maakt.
Het is een configuratie in OpenBao die een directe callback naar de API mogelijk maakt, waardoor de gebruikersbevestiging wordt omzeild en de exploitatie van de kwetsbaarheid wordt vergemakkelijkt.
Als u een versie van OpenBao gebruikt die ouder is dan 2.5.2 en rollen heeft geconfigureerd met callback_mode ingesteld op direct, is de kans groot dat u getroffen bent.
Wijzig onmiddellijk de wachtwoorden van alle gebruikers en bekijk OpenBao-logs op verdachte activiteiten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.