OAuth2 Proxy 的健康检查 User-Agent 匹配绕过 auth_request 模式下的身份验证

攻击者可以利用此身份验证绕过漏洞，无需有效的身份验证凭据即可访问受 OAuth2 Proxy 保护的上游资源。这可能导致敏感数据泄露、未经授权的修改或恶意代码执行，具体取决于上游资源的性质和配置。如果 OAuth2 Proxy 用于保护关键业务应用程序或 API，则此漏洞的潜在影响非常严重。攻击者可以利用此漏洞执行各种恶意活动，例如窃取用户数据、篡改数据或发起拒绝服务攻击。由于该漏洞依赖于特定的配置，因此并非所有 OAuth2 Proxy 部署都受到影响，但部署了 auth_request 集成且启用了 --ping-user-agent 或 --gcp-healthchecks 的部署尤其脆弱。

Organizations utilizing OAuth2 Proxy for authentication in conjunction with Nginx's auth_request directive are at significant risk. This includes deployments relying on health check endpoints for monitoring and those using --ping-user-agent or --gcp-healthchecks for integration with cloud platforms. Shared hosting environments where OAuth2 Proxy is deployed as a shared service are particularly vulnerable.

• linux / server:

journalctl -u oauth2-proxy | grep -i "health check"

• generic web:

curl -I -H "User-Agent: <health_check_user_agent>" https://<protected_resource>

Inspect the response headers for signs of unauthorized access. • generic web:

grep -r "--ping-user-agent" /etc/nginx/conf.d/*
grep -r "--gcp-healthchecks" /etc/nginx/conf.d/*

Check Nginx configuration files for the presence of these flags.

1. 2026-04-14Disclosure

   disclosure

2. 2026-04-14Patch

   patch

1. 已保留2026-03-27
2. 发布日期2026-04-14
3. 修改日期2026-04-17
4. EPSS 更新日期2026-04-22

缓解此漏洞的主要方法是升级到 OAuth2 Proxy 7.15.2 或更高版本，该版本修复了此身份验证绕过问题。如果无法立即升级，可以考虑以下临时缓解措施：禁用 --ping-user-agent 和 --gcp-healthchecks 选项，这将消除漏洞的根本原因。如果必须使用这些选项，请确保配置 OAuth2 Proxy 以仅接受来自已知健康检查源的请求。此外，可以考虑使用 Web 应用程序防火墙 (WAF) 或反向代理来过滤恶意请求，并阻止具有可疑用户代理的请求通过。在升级后，请验证身份验证机制是否正常工作，并确保只有授权用户才能访问受保护的资源。