平台
go
组件
oxia-db/oxia
修复版本
0.16.3
0.16.2
CVE-2026-40946 是 Oxia 中发现的 OIDC 认证绕过漏洞。由于 go-oidc 验证器配置中 SkipClientIDCheck 标志被无条件设置为 true,导致 Oxia 未能验证令牌的受众 (aud) 主张,从而允许攻击者使用为其他服务颁发的有效 JWT 令牌进行身份验证。此漏洞影响 Oxia 0.0.0 到 0.16.2 版本,建议立即升级至 0.16.2 版本以修复。
该漏洞的影响在于攻击者可以绕过 Oxia 的身份验证机制,利用有效的 JWT 令牌,即使该令牌是为不同的服务颁发的。攻击者可以利用此漏洞获取未经授权的访问权限,从而可能导致敏感数据泄露、权限提升,甚至可能控制整个系统。攻击者无需掌握 Oxia 内部信息,仅需获取到目标 OIDC 提供商颁发的、但并非为 Oxia 服务的有效令牌即可利用此漏洞。这类似于 OAuth2/OIDC 身份验证配置错误导致的身份验证绕过场景。
该漏洞已于 2026 年 4 月 21 日公开披露。目前尚无公开的利用程序 (PoC),但由于漏洞的严重性和易利用性,存在被主动利用的风险。该漏洞尚未被添加到 CISA KEV 目录,但应密切关注其动态。建议持续监控安全社区的动态,以获取最新的威胁情报。
Organizations heavily reliant on OIDC for authentication, particularly those with multiple services sharing the same identity provider, are at heightened risk. Environments with legacy configurations or those lacking robust OIDC monitoring practices are also more vulnerable.
• linux / server:
journalctl -u oxia | grep "SkipClientIDCheck: true"• generic web:
curl -I <oxia_endpoint> | grep -i "Authorization: Bearer"disclosure
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
修复此漏洞的首要措施是立即升级 Oxia 至 0.16.2 或更高版本。如果升级过程不可行或导致系统中断,可以考虑以下临时缓解措施:首先,审查并确保 OIDC 提供商的配置正确,并严格限制令牌的受众范围。其次,在反向代理或 Web 应用防火墙 (WAF) 中配置规则,以验证令牌的受众主张,并拒绝任何不匹配的请求。最后,监控 Oxia 的日志,查找任何异常的身份验证尝试,并及时响应。
将 Oxia 更新到 0.16.2 或更高版本以修复此漏洞。修复后的版本禁用了 `go-oidc` 验证器中默认的 'SkipClientIDCheck: true' 配置,从而确保执行标准的受众 (aud) 断言验证。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-40946 是 Oxia 中发现的 OIDC 认证绕过漏洞,攻击者可以利用来自同一 OIDC 提供商但目标服务不同的 JWT 令牌进行身份验证,绕过身份验证机制。
如果您正在使用 Oxia 0.0.0 到 0.16.2 版本,则可能受到此漏洞的影响。请立即升级至 0.16.2 或更高版本。
最有效的修复方法是升级 Oxia 至 0.16.2 或更高版本。如果无法升级,请考虑配置 WAF 规则或审查 OIDC 提供商的配置。
目前尚无公开的利用程序,但由于漏洞的严重性和易利用性,存在被主动利用的风险。
请查阅 Oxia 官方安全公告或 GitHub 仓库,以获取有关此漏洞的最新信息和修复方案。
上传你的 go.mod 文件,立即知道是否受影响。