Plataforma
go
Componente
openbao
Corrigido em
2.5.3
A vulnerabilidade CVE-2026-33757 no OpenBao permite que um atacante inicie uma solicitação de autenticação e realize "phishing remoto", fazendo com que a vítima faça login automaticamente. O impacto é o acesso à conta. As versões afetadas são as anteriores ou iguais a 2.5.2. A correção foi implementada na versão 2.5.2.
CVE-2026-33757 afeta o OpenBao, um sistema de gerenciamento de segredos baseado em identidade de código aberto. A vulnerabilidade reside na falta de confirmação do usuário ao fazer login via JWT/OIDC quando um papel tem callback_mode configurado como direct. Isso permite que um atacante inicie uma solicitação de autenticação e realize um "phishing remoto", fazendo com que a vítima visite a URL e seja automaticamente logada na sessão do atacante. Apesar de ser baseado no fluxo de autorização de código, o modo direct faz um callback direto para a API, contornando as proteções padrão. Esta vulnerabilidade tem uma pontuação CVSS de 9.6, indicando um risco crítico.
Um atacante pode explorar esta vulnerabilidade criando uma URL maliciosa que imite uma página de login legítima do OpenBao. Ao enganar um usuário para visitar esta URL, o atacante pode iniciar o processo de autenticação e, devido à configuração direct, o usuário seria automaticamente logado na sessão do atacante. Isso permitiria ao atacante acessar os segredos gerenciados pelo OpenBao com os privilégios do usuário comprometido. A facilidade de exploração, combinada com a gravidade do impacto, torna esta vulnerabilidade uma ameaça significativa.
Organizations utilizing OpenBao for secrets management, particularly those relying on JWT/OIDC authentication with roles configured for callback_mode: direct, are at significant risk. Shared hosting environments where OpenBao instances are deployed alongside other applications are also vulnerable, as a compromise of one instance could potentially lead to broader access.
• linux / server:
journalctl -u openbao | grep -i "callback_mode: direct"• generic web:
curl -I <openbao_auth_endpoint> | grep -i "callback_mode"disclosure
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-33757 é atualizar o OpenBao para a versão 2.5.2 ou superior. Esta versão corrige a falta de confirmação do usuário ao fazer login com JWT/OIDC e callbackmode definido como direct. Recomendamos fortemente aplicar esta atualização o mais rápido possível para mitigar o risco de ataques de phishing remoto. Além disso, revise a configuração de seus papéis no OpenBao, garantindo que o callbackmode não esteja configurado como direct a menos que seja absolutamente necessário e as implicações de segurança sejam totalmente compreendidas. Monitore os logs do OpenBao em busca de atividades suspeitas relacionadas à autenticação.
Atualize o OpenBao para a versão 2.5.2 ou superior. Como alternativa, remova qualquer função com `callback_mode=direct` ou force a confirmação para cada sessão no lado do emissor do token para o Client ID usado pelo OpenBao.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OpenBao é um sistema de gerenciamento de segredos de código aberto baseado em identidade.
A versão 2.5.2 corrige a vulnerabilidade CVE-2026-33757, que permite ataques de phishing remoto.
É uma configuração no OpenBao que permite um callback direto para a API, contornando a confirmação do usuário e facilitando a exploração da vulnerabilidade.
Se você estiver usando uma versão do OpenBao anterior à 2.5.2 e tiver papéis configurados com callback_mode definido como direct, provavelmente estará afetado.
Altere imediatamente as senhas de todos os usuários e revise os logs do OpenBao em busca de atividades suspeitas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.