CVE-2026-33757 描述了 OpenBao 中的一个严重漏洞,该漏洞允许攻击者通过 JWT/OIDC 登录绕过身份验证。当用户访问恶意 URL 时,攻击者可以自动登录受害者的会话。此漏洞影响 OpenBao 2.5.2 及以下版本,可能导致远程钓鱼攻击。 幸运的是,该问题已在 2.5.2 版本中得到修复。
CVE-2026-33757 影响 OpenBao,一个开源的基于身份的密钥管理系统。该漏洞在于,通过 JWT/OIDC 登录时,如果角色中的 callback_mode 设置为 direct,则缺少用户确认。这使得攻击者可以启动身份验证请求并执行“远程网络钓鱼”,诱骗受害者访问 URL 并自动登录到攻击者的会话。尽管基于授权码流程,direct 模式直接回调到 API,绕过了标准保护措施。此漏洞的 CVSS 评分达到 9.6,表明存在严重风险。
攻击者可以通过创建模仿合法 OpenBao 登录页面的恶意 URL 来利用此漏洞。通过诱骗用户访问此 URL,攻击者可以启动身份验证过程,并且由于 direct 配置,用户将被自动登录到攻击者的会话。这将允许攻击者使用受损用户的权限访问 OpenBao 管理的密钥。Exploit 的简易程度与影响的严重程度相结合,使此漏洞成为重大的威胁。
Organizations utilizing OpenBao for secrets management, particularly those relying on JWT/OIDC authentication with roles configured for callback_mode: direct, are at significant risk. Shared hosting environments where OpenBao instances are deployed alongside other applications are also vulnerable, as a compromise of one instance could potentially lead to broader access.
• linux / server:
journalctl -u openbao | grep -i "callback_mode: direct"• generic web:
curl -I <openbao_auth_endpoint> | grep -i "callback_mode"disclosure
漏洞利用状态
EPSS
0.07% (21% 百分位)
CISA SSVC
解决 CVE-2026-33757 的方法是将 OpenBao 更新到 2.5.2 或更高版本。此版本修复了通过 JWT/OIDC 登录时,callbackmode 设置为 direct 时缺少用户确认的问题。我们强烈建议尽快应用此更新,以降低远程网络钓鱼攻击的风险。此外,请审查 OpenBao 中角色的配置,确保 callbackmode 仅在绝对必要且完全理解安全含义时才设置为 direct。监控 OpenBao 日志,查找与身份验证相关的可疑活动。
将 OpenBao 更新到 2.5.2 或更高版本。或者,删除任何具有 `callback_mode=direct` 的角色,或在 OpenBao 使用的 Client ID 的令牌颁发者端强制对每个会话进行确认。
漏洞分析和关键警报直接发送到您的邮箱。
OpenBao 是一个开源的基于身份的密钥管理系统。
2.5.2 版本修复了 CVE-2026-33757,该漏洞允许进行远程网络钓鱼攻击。
这是 OpenBao 中的一个配置,允许直接回调到 API,绕过用户确认,并促进漏洞的利用。
如果您使用的是 OpenBao 的 2.5.2 之前的版本,并且角色配置为 callback_mode 设置为 direct,那么您很可能受到影响。
立即更改所有用户的密码,并检查 OpenBao 日志以查找可疑活动。
CVSS 向量
上传你的 go.mod 文件,立即知道是否受影响。