Katalog CVE

CVE-2026-34457

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OAuth2 Proxy to reverse proxy, który zapewnia uwierzytelnianie przy użyciu dostawców OAuth2. W wersjach przed 7.15.2 występuje luka w uwierzytelnianiu zależna od konfiguracji, która pozwala na ominięcie uwierzytelnienia w określonych warunkach, umożliwiając atakującym dostęp do chronionych zasobów.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do zasobów, co może prowadzić do wycieku danych lub innych poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację OAuth2 Proxy do wersji 7.15.2 lub nowszej, aby usunąć tę podatność. Należy również sprawdzić konfigurację, aby upewnić się, że nie jest ona podatna na ten typ ataku.

Oryginalny opis (angielski, źródło NVD)

OAuth2 Proxy is a reverse proxy that provides authentication using OAuth2 providers. Versions prior to 7.15.2 contain a configuration-dependent authentication bypass in deployments where OAuth2 Proxy is used with an auth_request-style integration (such as nginx auth_request) and either --ping-user-agent is set or --gcp-healthchecks is enabled. In affected configurations, OAuth2 Proxy treats any request with the configured health check User-Agent value as a successful health check regardless of the requested path, allowing an unauthenticated remote attacker to bypass authentication and access protected upstream resources. Deployments that do not use auth_request-style subrequests or that do not enable --ping-user-agent/--gcp-healthchecks are not affected. This issue is fixed in 7.15.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS