JVNDB-2026-010405

ORYのOathkeeperにおける相対パストラバーサルの脆弱性

ORY Oathkeeperは、Identity & Access Proxy (IAP)およびアクセス制御決定APIであり、アクセスルールのセットに基づいてHTTPリクエストを認可する機能を持っています。バージョン26.2.0より前のバージョンには、HTTPパストラバーサルを介した認可バイパスの脆弱性が存在します。攻撃者はパストラバーサルシーケンス（例：`/public/../admin/secrets`）を含むURLを作成し、正規化後に保護されたパスに解決されますが、ルール評価時に未正規化の生のパスが使用されるため、許可的なルールにマッチしてしまう問題があります。バージョン26.2.0には、この脆弱性を修正するパッチが含まれています。

ORY

• Oathkeeper 26.2.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Path traversal authorization bypass  Advisory  ory/oathkeeper  GitHub

1. 相対パストラバーサル(CWE-23) [その他]

1. CVE-2026-33494

1. National Vulnerability Database (NVD) : CVE-2026-33494
2. 関連文書 : fix: clean path while matching to prevent path traversal  ory/oathkeeper@8e00021  GitHub

• [2026年04月09日]
    掲載