CRITICAL🇬🇧 English

CVE-2026-33494

Ory Oathkeeper: pominięcie autoryzacji przez path traversal w URL

CVSS 10.0v3.1pub. 2026-03-26upd. 2026-04-07

Ory Oathkeeper w wersjach przed 26.2.0 jest podatny na obejście mechanizmu autoryzacji poprzez path traversal w ścieżce URL. Atakujący bez uwierzytelnienia może uzyskać dostęp do chronionych zasobów, co w kontekście proxy kontroli dostępu stanowi krytyczne zagrożenie.

Pokaż oryginał (EN)

ORY Oathkeeper is an Identity & Access Proxy (IAP) and Access Control Decision API that authorizes HTTP requests based on sets of Access Rules. Versions prior to 26.2.0 are vulnerable to an authorization bypass via HTTP path traversal. An attacker can craft a URL containing path traversal sequences (e.g. `/public/../admin/secrets`) that resolves to a protected path after normalization, but is matched against a permissive rule because the raw, un-normalized path is used during rule evaluation. Version 26.2.0 contains a patch.

🤖 Analiza AI
Jak działa

Podatność wynika z rozbieżności między etapem dopasowywania reguł dostępu a etapem normalizacji ścieżki URL. Atakujący konstruuje URL zawierający sekwencje path traversal (np. `/public/../admin/secrets`), który przed normalizacją pasuje do reguły zezwalającej (permissive rule), ponieważ ocena reguły odbywa się na surowej, nienormalizowanej ścieżce. Po normalizacji przez serwer docelowy ścieżka rozwiązuje się do chronionego zasobu, do którego żądanie zostaje przepuszczone bez właściwej weryfikacji uprawnień.

Skutki

Atakujący może ominąć reguły kontroli dostępu i uzyskać nieautoryzowany dostęp do chronionych zasobów API lub aplikacji stojących za proxy. W zależności od architektury chronionego systemu może to prowadzić do ujawnienia poufnych danych lub naruszenia integralności zasobów.

Mitygacja

Należy zaktualizować Ory Oathkeeper do wersji 26.2.0, która zawiera patch eliminujący podatność. Patch dostępny jest w repozytorium projektu (commit 8e0002140491c592db41fa141dc6ad68f417e2b2).

Kogo dotyczy

Ory Oathkeeper w wersjach wcześniejszych niż 26.2.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
  • Ory Oathkeeper

    APP
    Ory
    < 26.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-33496HIGH8.1ten sam produkt

ORY Oathkeeper is an Identity & Access Proxy (IAP) and Access Control Decision API that authorizes HTTP reques...

CVE-2021-32701HIGH7.5ten sam produkt

ORY Oathkeeper is an Identity & Access Proxy (IAP) and Access Control Decision API that authorizes HTTP reques...

CVE-2026-33495MEDIUM6.5ten sam produkt

ORY Oathkeeper is an Identity & Access Proxy (IAP) and Access Control Decision API that authorizes HTTP reques...

CVE-2026-33503HIGH7.2ten sam vendor

Ory Kratos is an identity, user management and authentication system for cloud services. Prior to version 26.2...

CVE-2026-33504HIGH7.2ten sam vendor

Ory Hydra is an OAuth 2.0 Server and OpenID Connect Provider. Prior to version 26.2.0, the listOAuth2Clients, ...

CVE-2026-33494 — Ory Oathkeeper: pominięcie autoryzacji przez path traversal w URL — CRITICAL 10.0 | CVEbaza.pl