UNKNOWNCVE-2026-33757
CVE-2026-33757 OpenBao 身份验证漏洞,影响2.5.2及以下版本
平台
go
组件
openbao/openbao
已修复版本
2.5.2
CVE-2026-33757 描述了 OpenBao 中的一个严重漏洞,该漏洞允许攻击者通过 JWT/OIDC 登录绕过身份验证。当用户访问恶意 URL 时,攻击者可以自动登录受害者的会话。此漏洞影响 OpenBao 2.5.2 及以下版本,可能导致远程钓鱼攻击。 幸运的是,该问题已在 2.5.2 版本中得到修复。
修复方法
将 OpenBao 更新到 2.5.2 或更高版本。或者,删除任何具有 `callback_mode=direct` 的角色,或在 OpenBao 使用的 Client ID 的令牌颁发者端强制对每个会话进行确认。
常见问题
什么是 CVE-2026-33757 漏洞?
CVE-2026-33757 是 OpenBao 中的一个身份验证绕过漏洞,允许攻击者通过 JWT/OIDC 登录绕过身份验证,从而进行远程钓鱼攻击。
我是否受到 CVE-2026-33757 漏洞的影响?
如果您正在使用 OpenBao 且版本低于或等于 2.5.2,则您可能受到此漏洞的影响。
如何修复 CVE-2026-33757 漏洞?
升级到 OpenBao 2.5.2 或更高版本以修复此漏洞。