平台
go
组件
github.com/openbao/openbao
修复版本
2.5.3
0.0.0-20260325133417-6e2b2dd84f0e
CVE-2026-33758 描述了 OpenBao 中一个 XSS 漏洞,该漏洞影响使用 OIDC/JWT 认证的系统。攻击者可以通过 errordescription 参数注入恶意脚本,从而窃取用户令牌。该漏洞影响配置了 callbackmode=direct 的 OIDC/JWT 认证。 修复版本为 0.0.0-20260325133417-6e2b2dd84f0e。
CVE-2026-33758 影响使用 OIDC/JWT 身份验证且角色配置为 callbackmode=direct 的 OpenBao 安装。该漏洞在于身份验证失败页面上 errordescription 参数中的跨站脚本 (XSS) 注入。攻击者可以利用此漏洞访问受害者 Web UI 中使用的令牌,从而可能危及帐户安全。
攻击者可能操纵 OIDC/JWT 身份验证响应,将恶意 JavaScript 代码注入到 error_description 参数中。当用户尝试登录且身份验证失败时,OpenBao 会显示错误页面,并在用户的浏览器中执行恶意代码。这使攻击者能够窃取身份验证令牌,从而可能获得对 OpenBao Web UI 的未经授权的访问。
漏洞利用状态
EPSS
0.12% (31% 百分位)
CISA SSVC
明确的修复方法是升级到 OpenBao 版本 2.5.2,其中 errordescription 参数已被替换为静态错误消息。作为临时规避措施,删除所有配置为 callbackmode=direct 的角色。这会减少攻击面并防止此漏洞被利用。为了保护您的 OpenBao 安装,请务必迅速采取行动。
将 OpenBao 更新到 2.5.2 或更高版本。或者,删除任何配置为 `direct` 的 `callback_mode` 的角色。
漏洞分析和关键警报直接发送到您的邮箱。
OIDC (OpenID Connect) 和 JWT (JSON Web Token) 是用于验证用户身份并授予对应用程序和服务访问权限的身份验证协议。
callback_mode=direct 允许 OpenBao 直接处理身份验证返回,在这种情况下,它会为 XSS 漏洞打开大门。
如果您无法立即升级到 OpenBao 版本 2.5.2,请将 callback_mode=direct 配置的角色作为临时措施删除。
可以在管理页面或安装文档中找到 OpenBao 版本。
虽然此漏洞最近才被发现,但存在它在发布补丁之前已被利用的风险。建议检查审计日志,查找任何可疑活动。
上传你的 go.mod 文件,立即知道是否受影响。