UNKNOWNCVE-2026-33758
CVE-2026-33758 OpenBao XSS 漏洞,影响 OIDC/JWT 认证
平台
go
组件
github.com/openbao/openbao
已修复版本
0.0.0-20260325133417-6e2b2dd84f0e
CVE-2026-33758 描述了 OpenBao 中一个 XSS 漏洞,该漏洞影响使用 OIDC/JWT 认证的系统。攻击者可以通过 `error_description` 参数注入恶意脚本,从而窃取用户令牌。该漏洞影响配置了 `callback_mode=direct` 的 OIDC/JWT 认证。 修复版本为 0.0.0-20260325133417-6e2b2dd84f0e。
修复方法
将 OpenBao 更新到 2.5.2 或更高版本。或者,删除任何配置为 `direct` 的 `callback_mode` 的角色。
常见问题
什么是 CVE-2026-33758 漏洞?
CVE-2026-33758 是 OpenBao 中的一个 XSS 漏洞,攻击者可以通过 `error_description` 参数注入恶意脚本。
我是否受到 CVE-2026-33758 漏洞的影响?
如果您正在使用 OpenBao 且启用了 OIDC/JWT 认证,并且配置了 `callback_mode=direct` 的角色,则您可能受到影响。
如何修复 CVE-2026-33758 漏洞?
升级到 0.0.0-20260325133417-6e2b2dd84f0e 版本或更高版本以修复此漏洞。