Platform
go
Component
github.com/openbao/openbao
Opgelost in
2.5.3
0.0.0-20260325133417-6e2b2dd84f0e
CVE-2026-33758 beschrijft een cross-site scripting (XSS) kwetsbaarheid in OpenBao, een open-source platform voor risicobeheer. Deze kwetsbaarheid stelt een aanvaller in staat om toegang te krijgen tot tokens in de webinterface door middel van manipulatie van de error_description parameter bij mislukte authenticatie. De kwetsbaarheid treedt op in versies van OpenBao vóór v2.5.2 en kan worden verholpen door een upgrade of door een specifieke configuratiewijziging.
De impact van deze XSS-kwetsbaarheid is significant. Een succesvolle exploitatie kan een aanvaller toegang geven tot de token die in de OpenBao webinterface wordt gebruikt door een slachtoffer. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie en functionaliteit binnen het OpenBao platform. De aanvaller kan potentieel de identiteit van het slachtoffer aannemen en acties uitvoeren namens hen, wat de integriteit van het risicobeheerproces in gevaar brengt. De kwetsbaarheid is specifiek gerelateerd aan de OIDC/JWT authenticatiemethode en rollen met callback_mode=direct.
Op dit moment is er geen publieke exploitatie van CVE-2026-33758 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-03-26. De ernst van de kwetsbaarheid (CVSS 9.5) duidt op een potentieel hoog risico, en het is aan te raden om de mitigatiemaatregelen zo snel mogelijk te implementeren. Er is geen vermelding op CISA KEV op het moment van schrijven.
Exploit Status
EPSS
0.12% (31% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-33758 is het upgraden van OpenBao naar versie v2.5.2 of hoger, waarin de kwetsbaarheid is verholpen. Als een upgrade momenteel niet mogelijk is, kan de kwetsbaarheid tijdelijk worden verholpen door alle rollen te verwijderen die callback_mode ingesteld hebben op direct. Dit voorkomt dat de kwetsbare parameter wordt gebruikt. Controleer na de upgrade of de authenticatie correct functioneert en of er geen onverwachte fouten optreden. Monitor de webinterface op verdachte activiteit en configureer indien mogelijk een Web Application Firewall (WAF) om pogingen tot XSS-aanvallen te blokkeren.
Actualiseer OpenBao naar versie 2.5.2 of hoger. Alternatief, verwijder alle rollen met `callback_mode` geconfigureerd als `direct`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OIDC (OpenID Connect) and JWT (JSON Web Token) are authentication protocols used to verify user identity and grant access to applications and services.
The callback_mode=direct allows OpenBao to directly handle the authentication return, which in this case, opens the door to the XSS vulnerability.
If you cannot upgrade to OpenBao version 2.5.2 immediately, remove roles with callback_mode=direct as a temporary measure.
The OpenBao version can be found on the administration page or in the installation documentation.
Although the vulnerability was recently discovered, there is a risk it may have been exploited before the patch was released. Review audit logs for suspicious activity is recommended.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.