Plataforma
go
Componente
github.com/openbao/openbao
Corrigido em
2.5.3
0.0.0-20260325133417-6e2b2dd84f0e
A vulnerabilidade CVE-2026-33758 é uma falha de Cross-Site Scripting (XSS) identificada no OpenBao, uma plataforma de gerenciamento de segurança. Um atacante pode explorar essa falha para obter acesso não autorizado ao token da interface web, comprometendo a segurança do sistema. A vulnerabilidade afeta versões anteriores a v2.5.2 e pode ser mitigada atualizando para a versão corrigida ou removendo configurações específicas.
A exploração bem-sucedida de CVE-2026-33758 permite que um atacante injete scripts maliciosos na interface web do OpenBao. Especificamente, a vulnerabilidade reside no parâmetro errordescription quando a autenticação OIDC/JWT está habilitada e um role possui callbackmode=direct. Ao manipular esse parâmetro, um atacante pode induzir a execução de código arbitrário no contexto do usuário autenticado, obtendo acesso ao token utilizado pela Web UI. Este acesso pode ser usado para realizar ações em nome do usuário, potencialmente comprometendo dados confidenciais e a integridade do sistema.
A vulnerabilidade foi divulgada em 26 de março de 2026. Não há evidências públicas de exploração ativa no momento da divulgação. Não foi listada no KEV (CISA Known Exploited Vulnerabilities) até o momento. A ausência de um Proof-of-Concept (PoC) público torna a exploração mais difícil, mas a gravidade da vulnerabilidade (CVSS 9.5) indica um risco significativo.
Status do Exploit
EPSS
0.12% (percentil 31%)
CISA SSVC
A correção primária para CVE-2026-33758 é a atualização para a versão v2.5.2 do OpenBao, que substitui o parâmetro errordescription por uma mensagem de erro estática. Em ambientes onde a atualização imediata não é possível, uma mitigação temporária é remover qualquer role configurado com callbackmode definido como direct. Essa configuração é a raiz da vulnerabilidade e sua remoção impede a exploração. Após a atualização, confirme a correção verificando se o parâmetro errordescription não está mais presente na página de erro de autenticação e se os roles com callbackmode=direct foram removidos.
Atualize OpenBao para a versão 2.5.2 ou superior. Alternativamente, remova qualquer papel com `callback_mode` configurado como `direct`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OIDC (OpenID Connect) and JWT (JSON Web Token) are authentication protocols used to verify user identity and grant access to applications and services.
The callback_mode=direct allows OpenBao to directly handle the authentication return, which in this case, opens the door to the XSS vulnerability.
If you cannot upgrade to OpenBao version 2.5.2 immediately, remove roles with callback_mode=direct as a temporary measure.
The OpenBao version can be found on the administration page or in the installation documentation.
Although the vulnerability was recently discovered, there is a risk it may have been exploited before the patch was released. Review audit logs for suspicious activity is recommended.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.