Een belangrijke kwetsbaarheid (CVE-2025-54576) is ontdekt in OAuth2-Proxy, een hulpmiddel dat fungeert als standalone reverse proxy of middleware. Dit kritiek lek stelt aanvallers in staat om authenticatie te omzeilen door speciaal gevormde URL’s te gebruiken, met behulp van het skip_auth_routes configuratie-optie.
De kwetsbaarheid bevindt zich in versies voor 7.11.0 en hangt samen met het gebruik van regex patronen in skip_auth_routes. Dit betekent dat ongeoorloofde toegang mogelijk is tot beveiligde middelen, wat een groot risico vormt voor de vertrouwelijkheid en integriteit van uw systemen.
Overzicht
Deze kwetsbaarheid heeft betrekking op het gebruik van regex patronen die te breed zijn toegestaan binnen de skip_auth_routes optie. Dit zorgt ervoor dat aanvallers in staat zijn om geldige patronen te simuleren en zo toegang te krijgen tot beveiligde bronnen zonder de vereiste rechten.
Aanbevelingen
- Update naar versie 7.11.0 van OAuth2-Proxy om deze kwetsbaarheid te verhelpen.
- Controleer alle
skip_auth_routesconfiguraties op te vrijgevige patronen. - Vervang indien mogelijk jokerpatronen door exacte padmatches.
- Zorg ervoor dat regex patronen correct zijn verankerd (begin met
^en eindig met$). - Overweeg implementatie van aangepaste validatie die query parameters verwijdert voordat regex matching plaatsvindt.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54576?
Het betreft een authenticatieomzeiling in het OAuth2-Proxy platform die voortvloeit uit een misconfiguratie van het skip_auth_routes configuratieoptie.
Welke systemen zijn kwetsbaar voor CVE-2025-54576?
Systemen die OAuth2-Proxy gebruiken in een versie lager dan 7.11.0.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen in versie 7.11.0 van OAuth2-Proxy.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder authenticatie toegang krijgen tot beveiligde bronnen, met mogelijke gevolgen voor de vertrouwelijkheid en integriteit van deze gegevens.
