OAuth2-Proxy 身份验证绕过漏洞:攻击者可通过操纵查询参数实现未授权访问
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
在OAuth2-Proxy(7.10.0及以下版本)中发现严重漏洞(CVE-2025-54576),攻击者可通过特定URL绕过身份验证,导致未授权访问。建议升级至7.11.0版本并审计配置以提升安全性。
🎯
关键要点
- 在OAuth2-Proxy中发现严重安全漏洞(CVE-2025-54576)。
- 攻击者可通过特定URL绕过身份验证,获取未授权访问权限。
- 漏洞影响OAuth2-Proxy 7.10.0及以下版本。
- 系统错误处理请求URI匹配逻辑,导致安全检查失效。
- 建议升级至7.11.0版本并审计配置以提升安全性。
- 漏洞CVSS v3.1评分为9.1,存在高风险。
- 受影响产品包括使用skip_auth_routes配置的OAuth2-Proxy部署。
- 临时缓解措施包括审计skip_auth_routes配置和使用精确路径匹配。
- 建议企业在升级时实施临时安全措施以防止攻击。
🏷️
标签
➡️
