ORY Oathkeeper - это API Identity & Access Proxy (IAP) и Decision Decision Decision, который разрешает HTTP-запросы на основе наборов прави…
ORY Oathkeeper - это API Identity & Access Proxy (IAP) и Decision Decision Decision, который разрешает HTTP-запросы на основе наборов правил доступа. Версии до 26.2.0 уязвимы для шунтирования аутентификации из-за путаницы с ключом кэша. Кэш аутентификатора `oauth2_introspection` не отличает токены, которые были проверены с помощью различных URL-адресов интроспектив. Таким образом, злоумышленник может законно использовать токен для запуска кэша, а затем использовать тот же токен для правил, которые используют другой сервер самоанализа. Ory Oathkeeper должен быть сконфигурирован с несколькими `oauth2_introspection` серверами аутентификатора, каждый из которых принимает разные токены. Аутентификаторы также должны быть настроены на использование кэширования. Злоумышленник должен иметь способ получить действительный токен для одного из настроенных серверов самоанализа. Начиная с версии 26.2.0, Ory Oathkeeper включает URL-адрес сервера самоанализа в ключ кэша, предотвращая путаницу токенов. Обновление до исправленной версии Ory Oathkeeper. Если это невозможно сразу, отключите кэширование для `oauth2_introspection` аутентификаторов.
Алгоритм аутентификации корректен, однако реализованный механизм может быть обойдён вследствие отдельной слабости, являющейся первичной по отношению к ошибке аутентификации.
https://cwe.mitre.org/data/definitions/305.html →Открыть в коллекции CWE →