nvd,anchore_overrides
Oauth2_proxy_project
Уязвимости
14
Эксплуатируемые
0
Критический
3
Высокий
3
Топ продуктов
Топ уязвимостей
CVE-2026-40575OAuth2 Proxy - это обратный прокси, который обеспечивает аутентификацию с использованием поставщиков OAuth2. Версификации 7.5.0-7.15.1 могут доверять клиенту поставляемый клиентом заголовок "X-Sip-Uri`" при включении "-reverse-proxy`" и "--skip-auth-regex` или "--reverse-proxy`" настроен "X-sip-uth-regex`" или "--reverse-proxy`". Нападатель может подделать этот заголовок, поэтому OAuth2 Proxy оценивает правила аутентификации и пропуска по другому пути, чем тот, который фактически отправлен в приложение выше по течению. Это может привести к тому, что удаленный злоумышленник без аутентификации обойдет аутентификацию и попадет в защищенные маршруты без действительного сеанса. Пострадавшими пользователями являются развертывания, которые запускают oaut2-proxy с включенным `-reverse-proxy` и настраивают по меньшей мере одно `--skip-auth-regex` или `--skip-aute-route` правило "-sp-aute-route". Этот вопрос исправлен в `v7.15.2`. Некоторые обходные пути доступны для тех, кто не может обновиться немедленно. Разберите любой заголовок, предоставляемый клиентом `X-Перенаправленный Uri` на обратный прокси или балансир нагрузки; явно перезаписывайте `X-Ox-Forwarded-Uri` с фактическим запросом URI перед пересылкой запросов на OAuth2 Proxy; ограничьте прямой доступ клиента к OAuth2 Proxy, чтобы он мог быть достигнут только через доверенный обратный прокси; и/или удалить или узок `-skip-regex`. Для развертывания на основе nginx убедитесь, что `X-Forwarded-Uri` устанавливается nginx и не передается от клиента.
CVE-2026-34457OAuth2 Proxy - это обратный прокси, который обеспечивает аутентификацию с использованием поставщиков OAuth2. Версии до 7.15.2 содержат байпас аутентификации, зависящую от конфигурации, в развертываниях, где OAuth2 Proxy используется с интеграцией в стиле auth_request (например, nginx auth_request) и либо --ping-user-agent установлен, либо -gcp-healthchecks включен. В затронутых конфигурациях OAuth2 Proxy рассматривает любой запрос с помощью настроенной проверки работоспособности значения User-Agent в качестве успешной проверки здоровья независимо от запрашиваемого пути, позволяя неаутентифицированному удаленному злоумышленнику обходить аутентификацию и получать доступ к защищенным ресурсам вверх по течению. Внедорожники, которые не используют auth_request-style subaquest или которые не позволяют --ping-user-agent/-gcp-healthchecks, не затрагиваются. Эта проблема зафиксирована в 7.15.2.
CVE-2025-54576OAuth2-Proxy - это инструмент с открытым исходным кодом, который может действовать как автономный обратный прокси или компонент промежуточной программы, интегрированный в существующие настройки обратного прокси или балансировщика нагрузки. В версиях 7.10.0 и ниже развертывание outh2-прокси уязвимы при использовании опции конфигурации skip_auth_routes с шаблонами regex. Агитаторы могут обойти аутентификацию, создав URL-адреса с параметрами запроса, которые удовлетворяют настроенным шаблонам регекс, что позволяет несанкционированный доступ к защищенным ресурсам. Проблема связана с совпадениями skip_auth_routes с полным запросом URI. Развертывание с использованием с помощью skip_auth_routes с шаблонами regex, содержащих подстановочные знаки или широкие шаблоны сопоставления, подвергаются наибольшей опасности. Эта проблема исправлена в версии 7.11.0. Обходные пути включают в себя: аудит всех конфигураций skip_auth_routes для чрезмерно разрешительных паттернов, замену шаблонов wildcard точными соответствиями пути, где это возможно, обеспечение правильной закрепленности регекса (начиная с ^ и заканчивая ^ и заканчивая $), или реализацию пользовательской валидации, которая удаляет параметры запроса перед сопоставлением regex.
CVE-2017-1000069CSRF в Bitly oauth2_proxy 2.1 во время потока аутентификации.
CVE-2025-64484OAuth2-Proxy - это инструмент с открытым исходным кодом, который может действовать как автономный обратный прокси или компонент промежуточной программы, интегрированный в существующие настройки обратного прокси или балансира нагрузки. В версиях до 7.13.0 все развертывания OAuth2 Proxy перед приложениями, которые нормализуют выделения для тире в HTTP-заголовках (например, фреймворки на основе WSGI, такие как приложения Django, Flask, FastAPI и PHP). Аутентифицированные пользователи могут вводить подчеркнутые варианты заголовков X-Forwarded-*, которые обходят логику фильтрации прокси, потенциально усиливая привилегии в приложении upstream. Аутентификация/авторизация прокси-сервера OAuth2 сама по себе не скомпрометирована. Проблема была исправлена с v7.13.0. По умолчанию все указанные заголовки теперь будут нормализованы, что означает, что как капитализация, так и использование подчеркивания (_) против тире (-) будут проигнорированы при сопоставлении заголовков, которые будут сняты. Например, как `X-Forwarded-For`, так и `X_Forwarded-for` теперь будут рассматриваться как эквивалентные и удалены. Для тех, у кого есть рациональный, который требует сохранения аналогичного заголовка и не удаления его, сопровождающие ввели новое поле конфигурации для Headers, управляемое через AlphaConfig под названием «InsecureSkipHeaderNormalization». В качестве обходного пути убедитесь, что логика фильтрации и обработки в службах добычи не обрабатывают нижние стержни и дефисы в Headers одинаково.
CVE-2026-41059OAuth2 Proxy - это обратный прокси, который обеспечивает аутентификацию с использованием провайдеров OAuth2. Версии 7.5.0 - 7.15.1 имеют зависимую от конфигурации аутентификацию. Развертывание затрагивается, когда все из следующего верно: использование `skip_auth_routes` или унаследованного `skip_ath_regex`; использования шаблонов, которые могут быть расширены суффиксами, контролируемыми злоумышленником, такими как `^/foo/.*/bar$` вызывая потенциальное воздействие `/foo/secret`; и защищенных приложений вверх, которые интерпретируют `#` как делимит фрагмента или иным образом направляют запрос на защищенный базовый путь. В развертываниях, которые полагаются на эти настройки, неаутентифицированный злоумышленник может отправить созданный запрос, содержащий знак с числом на пути, включая безопасную для браузера форму `%23`, так что OAuth2 Proxy соответствует правилу публичного списка разрешений, в то время как бэкенд обслуживает защищенный ресурс. Не затрагиваются развертывания, которые не используют эти варианты пропуска или которые допускают только точные публичные пути с плотно обдутанными правилами метода и пути. В версии 7.15.2 было реализовано исправление, чтобы нормализовать пути запроса более консервативно, прежде чем сопоставить сопоставить фрагмент, поэтому фрагментированный контент не влияет на решения о разрешенных списках. Пользователи, которые не могут обновиться немедленно, могут уменьшить воздействие, ужесточив или удалив `skip_auth_routes` и `skip_auth_regex` правила, особенно шаблоны, которые используют широкие подстановочные знаки по сегментам пути. Рекомендуемые меры по смягчению последствий включают замену широких правил точными, заякоренными публичным путями и явными методами HTTP; отклонение запросов, путь которых содержит `%23` или `#` на уровне ingress, load balanceer или WAF; и/или избегание размещения чувствительных путей применения за широкими `skip_auth_rotes` правилами.
CVE-2026-40574OAuth2 Proxy - это обратный прокси, который обеспечивает аутентификацию с использованием поставщиков OAuth2. До 7:15.2 в OAuth2 Proxy существует обход авторизации как часть опции обеспечения соблюдения электронной почты_домена. Нападавший может подтвердить подлинность с помощью претензии по электронной почте, такой как as ather@evil.com@company.com, и удовлетворить разрешенный проверку домена для company.com, хотя это утверждение не является действительным адресом электронной почты. Проблема ТОЛЬКО затрагивает развертывания, которые полагаются на ограничения по электронной почте и принимают значения претензий по электронной почте от поставщиков идентификационных данных или картографирования претензий, которые не строго соблюдают обычный синтаксис электронной почты. Эта уязвимость зафиксирована в 7.15.2.
CVE-2021-21291OAuth2 Proxy — это обратный прокси-сервер с открытым исходным кодом и сервер статических файлов, который обеспечивает аутентификацию с использованием провайдеров (Google, GitHub и других) для проверки учетных записей по электронной почте, домену или группе. В OAuth2 Proxy версий до 7.0.0 для пользователей, использующих функцию домена белого списка, домен, заканчивающийся аналогично предполагаемому домену, мог быть разрешен в качестве перенаправления. Например, если домен белого списка настроен для «.example.com», предполагается, что поддомены example.com разрешены. Вместо этого также могут совпадать «example.com» и «badexample.com». Это исправлено в версии 7.0.0 и выше. В качестве обходного пути можно отключить функцию домена белого списка и запустить отдельные экземпляры OAuth2 Proxy для каждого поддомена.
CVE-2020-5233OAuth2 Proxy до 5.0 имеет уязвимость открытого перенаправления. Токены аутентификации могут быть молча собраны злоумышленником. Это было исправлено в версии 5.0.
CVE-2020-11053В OAuth2 Proxy до версии 5.1.1 существует уязвимость открытого перенаправления. Пользователи могут указать адрес перенаправления для прокси-сервера, чтобы отправить аутентифицированного пользователя в конце потока аутентификации. Ожидается, что это будет исходный URL-адрес, к которому пользователь пытался получить доступ. Этот URL-адрес перенаправления проверяется в прокси-сервере и проверяется перед перенаправлением пользователя, чтобы предотвратить предоставление злоумышленниками перенаправлений на потенциально вредоносные сайты. Однако, создав URL-адрес перенаправления с HTML-закодированными символами пробелов, проверку можно было обойти и разрешить перенаправление на любой предоставленный URL-адрес. Эта проблема была исправлена в версии 5.1.1.
CVE-2017-1000070Bitly oauth2_proxy в версии 2.1 и старше был подвержен уязвимости открытого перенаправления во время начала и завершения двустороннего потока OAuth. Эта проблема была вызвана неправильной проверкой входных данных и нарушением RFC-6819.
CVE-2021-21411OAuth2-Proxy — это обратный прокси-сервер с открытым исходным кодом, который обеспечивает аутентификацию с помощью Google, Github или других поставщиков. Флаг `--gitlab-group` для авторизации на основе групп в поставщике GitLab перестал работать в выпуске v7.0.0. Независимо от настроек флага, авторизация не была ограничена. Кроме того, любые прошедшие проверку подлинности пользователи имели любые группы, установленные в `--gitlab-group`, добавленные к новому заголовку `X-Forwarded-Groups` в восходящее приложение. При добавлении поддержки авторизации на основе проектов GitLab в #630 была внесена ошибка, из-за которой поле групп сеанса пользователя заполнялось записями конфигурации `--gitlab-group` вместо получения членства в группе отдельного пользователя из конечной точки Userinfo GitLab. Когда группы сеанса сравнивались с разрешенными группами для авторизации, они сопоставлялись неправильно (поскольку оба списка были заполнены одними и теми же данными), поэтому авторизация была разрешена. Это влияет на пользователей GitLab Provider, которые полагаются на членство в группе для ограничений авторизации. Любые прошедшие проверку подлинности пользователи в вашей среде GitLab могут получить доступ к вашим приложениям независимо от ограничений членства в `--gitlab-group`. Эта проблема исправлена в версии v7.1.0. Обходного пути для ошибки членства в группе нет. Но `--gitlab-project` можно настроить для использования членства в проекте в качестве проверок авторизации вместо групп; это не сломано.
CVE-2020-4037В OAuth2 Proxy от версии 5.1.1 и до версии 6.0.0 пользователи могут предоставить адрес перенаправления для прокси-сервера, чтобы отправить аутентифицированного пользователя в конце потока аутентификации. Ожидается, что это будет исходный URL-адрес, к которому пользователь пытался получить доступ. Этот URL-адрес перенаправления проверяется в прокси-сервере и подтверждается перед перенаправлением пользователя, чтобы злоумышленники не могли предоставлять перенаправления на потенциально вредоносные сайты. Это было исправлено в версии 6.0.0.
CVE-2026-34454OAuth2 Proxy - это обратный прокси, который обеспечивает аутентификацию с использованием провайдеров OAuth2. Регрессия, введенная в 7.11.0, предотвращает OAuth2 Proxy от очистки сеансового файла cookie при вводе страницы входа. При развертываниях, которые полагаются на страницу входа в систему как часть потока логотипа, пользователю может быть показана страница входа, в то время как существующий сеансовый файл cookie остается действительным, что означает, что сеанс браузера фактически не выведен из системы. На общих рабочих станциях или устройствах последующий пользователь может продолжать использовать аутентифицированный сеанс предыдущего пользователя. Не затрагиваются развертывания, которые используют выделенную конечную точку о волеоувер/вывода для завершения сеансов. Эта проблема исправлена в 7.15.2