CVE-2026-33494

Ory Oathkeeper has a path traversal authorization bypass

CVSS 10 CRITICALEPSS 0.5%CWE-23

En resumen

Ory Oathkeeper anteriores a la versión 26.2.0 permiten que atacantes eludan controles de acceso utilizando trucos de traversal de rutas (como `/public/../admin`) en URLs. El sistema verifica la permisión contra la ruta disfrazada pero procesa la ruta real, permitiendo que atacantes accedan a áreas protegidas.

Detalle técnico

Una vulnerabilidad de bypass de autorización existe en el motor de evaluación de reglas de Ory Oathkeeper, que compara solicitudes HTTP contra Access Rules utilizando rutas no normalizadas. Un atacante puede construir URLs con secuencias de traversal de ruta que se resuelven en endpoints protegidos después de la normalización, eludiendo controles de acceso porque el matching ocurre antes de la normalización. Afecta versiones anteriores a 26.2.0.

Resumen generado y traducido por IA a partir de la descripción oficial.

ORY Oathkeeper is an Identity & Access Proxy (IAP) and Access Control Decision API that authorizes HTTP requests based on sets of Access Rules. Versions prior to 26.2.0 are vulnerable to an authorization bypass via HTTP path traversal. An attacker can craft a URL containing path traversal sequences (e.g. `/public/../admin/secrets`) that resolves to a protected path after normalization, but is matched against a permissive rule because the raw, un-normalized path is used during rule evaluation. Version 26.2.0 contains a patch.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N

Productos afectados

ory · oathkeeper

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/ory/oathkeeper/commit/8e0002140491c592db41fa141dc6ad68f417e2b2 https://github.com/ory/oathkeeper/security/advisories/GHSA-p224-6x5r-fjpm