anonhaven

CVE-2026-33757

CRITICAL CVSS 3.1: 8,3 EPSS 0.07%
Обновлено 30 марта 2026
Openbao
Параметр Значение
CVSS 8,3 (CRITICAL)
Уязвимые версии до 2.5.2
Устранено в версии 2.5.2
Тип уязвимости CWE-384
Поставщик Openbao
Публичный эксплойт Нет

OpenBao — это система управления секретами на основе личных данных с открытым исходным кодом. До версии 2.5.2 OpenBao не запрашивал подтверждение пользователя при входе в систему через JWT/OIDC и роли с `callback_mode`, установленной на `direct`. Это позволяет злоумышленнику запустить запрос на аутентификацию и выполнить «удаленный фишинг», заставив жертву посетить URL-адрес и автоматически войти в сеанс злоумышленника.

Несмотря на то, что «прямой» режим основан на потоке кода авторизации, он напрямую обращается к API и позволяет злоумышленнику запрашивать токен OpenBao до тех пор, пока он не будет выдан. Версия 2.5.2 включает дополнительный экран подтверждения для входа в систему «прямого» типа, который требует ручного взаимодействия с пользователем для завершения аутентификации. Эту проблему можно обойти, либо удалив все роли с `callback_mode=direct`, либо принудительно подтверждая каждый сеанс на стороне эмитента токена для идентификатора клиента, используемого OpenBao.

Показать оригинальное описание (EN)

OpenBao is an open source identity-based secrets management system. Prior to version 2.5.2, OpenBao does not prompt for user confirmation when logging in via JWT/OIDC and a role with `callback_mode` set to `direct`. This allows an attacker to start an authentication request and perform "remote phishing" by having the victim visit the URL and automatically log-in to the session of the attacker. Despite being based on the authorization code flow, the `direct` mode calls back directly to the API and allows an attacker to poll for an OpenBao token until it is issued. Version 2.5.2 includes an additional confirmation screen for `direct` type logins that requires manual user interaction in order to finish the authentication. This issue can be worked around either by removing any roles with `callback_mode=direct` or enforcing confirmation for every session on the token issuer side for the Client ID used by OpenBao.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-384

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Openbao Openbao
cpe:2.3:a:openbao:openbao:*:*:*:*:*:*:*:*
 2.5.2

Ссылки 3

https://datatracker.ietf.org/doc/html/rfc8628#section-5.4
security-advisories@github.com
https://github.com/openbao/openbao/commit/e32103951925723e9787e33886ab6b6ec20f4…
security-advisories@github.com
https://github.com/openbao/openbao/security/advisories/GHSA-7q7g-x6vg-xpc3
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33758

Openbao

9,4

CVE-2025-64761

Openbao

7,2

CVE-2025-59048

Openbao

8,1

CVE-2025-62705

Openbao

4,9

CVE-2025-62513

Openbao

7,5