OpenBao não possui confirmação do usuário para o modo de callback direto OIDC
Plataforma
go
Componente
openbao
Corrigido em
2.5.3
A vulnerabilidade CVE-2026-33757 no OpenBao permite que um atacante inicie uma solicitação de autenticação e realize "phishing remoto", fazendo com que a vítima faça login automaticamente. O impacto é o acesso à conta. As versões afetadas são as anteriores ou iguais a 2.5.2. A correção foi implementada na versão 2.5.2.
Detecte esta CVE no seu projeto
Envie seu arquivo go.mod e descubra na hora se você está afetado.
Impacto e Cenários de Ataque
CVE-2026-33757 afeta o OpenBao, um sistema de gerenciamento de segredos baseado em identidade de código aberto. A vulnerabilidade reside na falta de confirmação do usuário ao fazer login via JWT/OIDC quando um papel tem callback_mode configurado como direct. Isso permite que um atacante inicie uma solicitação de autenticação e realize um "phishing remoto", fazendo com que a vítima visite a URL e seja automaticamente logada na sessão do atacante. Apesar de ser baseado no fluxo de autorização de código, o modo direct faz um callback direto para a API, contornando as proteções padrão. Esta vulnerabilidade tem uma pontuação CVSS de 9.6, indicando um risco crítico.
Contexto de Exploração
Um atacante pode explorar esta vulnerabilidade criando uma URL maliciosa que imite uma página de login legítima do OpenBao. Ao enganar um usuário para visitar esta URL, o atacante pode iniciar o processo de autenticação e, devido à configuração direct, o usuário seria automaticamente logado na sessão do atacante. Isso permitiria ao atacante acessar os segredos gerenciados pelo OpenBao com os privilégios do usuário comprometido. A facilidade de exploração, combinada com a gravidade do impacto, torna esta vulnerabilidade uma ameaça significativa.
Quem Está em Riscotraduzindo…
Organizations utilizing OpenBao for secrets management, particularly those relying on JWT/OIDC authentication with roles configured for callback_mode: direct, are at significant risk. Shared hosting environments where OpenBao instances are deployed alongside other applications are also vulnerable, as a compromise of one instance could potentially lead to broader access.
Passos de Detecçãotraduzindo…
• linux / server:
journalctl -u openbao | grep -i "callback_mode: direct"• generic web:
curl -I <openbao_auth_endpoint> | grep -i "callback_mode"Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Baixo — negação de serviço parcial ou intermitente.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução para CVE-2026-33757 é atualizar o OpenBao para a versão 2.5.2 ou superior. Esta versão corrige a falta de confirmação do usuário ao fazer login com JWT/OIDC e callbackmode definido como direct. Recomendamos fortemente aplicar esta atualização o mais rápido possível para mitigar o risco de ataques de phishing remoto. Além disso, revise a configuração de seus papéis no OpenBao, garantindo que o callbackmode não esteja configurado como direct a menos que seja absolutamente necessário e as implicações de segurança sejam totalmente compreendidas. Monitore os logs do OpenBao em busca de atividades suspeitas relacionadas à autenticação.
Como corrigir
Atualize o OpenBao para a versão 2.5.2 ou superior. Como alternativa, remova qualquer função com `callback_mode=direct` ou force a confirmação para cada sessão no lado do emissor do token para o Client ID usado pelo OpenBao.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2026-33757 em OpenBao?
OpenBao é um sistema de gerenciamento de segredos de código aberto baseado em identidade.
Estou afetado pelo CVE-2026-33757 no OpenBao?
A versão 2.5.2 corrige a vulnerabilidade CVE-2026-33757, que permite ataques de phishing remoto.
Como corrijo o CVE-2026-33757 no OpenBao?
É uma configuração no OpenBao que permite um callback direto para a API, contornando a confirmação do usuário e facilitando a exploração da vulnerabilidade.
O CVE-2026-33757 está sendo explorado ativamente?
Se você estiver usando uma versão do OpenBao anterior à 2.5.2 e tiver papéis configurados com callback_mode definido como direct, provavelmente estará afetado.
Onde encontro o aviso oficial do OpenBao para o CVE-2026-33757?
Altere imediatamente as senhas de todos os usuários e revise os logs do OpenBao em busca de atividades suspeitas.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.