CVE-2026-40575 CVSS 9.1 严重

CVE-2026-40575 OAuth2 Proxy认证绕过漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40575

漏洞类型

认证绕过

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OAuth2 Proxy

漏洞概述

OAuth2 Proxy在7.5.0至7.15.1版本中存在安全漏洞。当启用`--reverse-proxy`并配置了`--skip-auth-regex`或`--skip-auth-route`时，系统会信任客户端提供的`X-Forwarded-Uri`请求头。攻击者可利用此漏洞伪造头部，导致代理评估的路径与实际请求不符，从而绕过身份验证，未授权访问受保护的内部应用路由。

技术细节

该漏洞的原理在于OAuth2 Proxy在特定模式下对HTTP请求头的信任边界处理不当。当配置了反向代理模式并结合跳过认证的路径规则时，OAuth2 Proxy利用`X-Forwarded-Uri`头来匹配正则或路由规则。攻击者只需构造一个指向受保护资源（如`/api/admin`）的HTTP请求，并在其中插入一个伪造的`X-Forwarded-Uri`头部，值设为被配置为允许匿名访问的路径（如`/healthz`）。OAuth2 Proxy检测到头部匹配免认证规则后，直接放行该请求。由于后端应用通常依据原始请求行（Request-Line）而非转发头来路由，攻击者最终成功绕过OAuth2 Proxy的守卫，以未认证身份访问敏感接口。

攻击链分析

STEP 1

侦察

识别目标使用OAuth2 Proxy，并尝试探测是否存在免认证的路径规则（如/health, /static）。

STEP 2

构造请求

攻击者构造HTTP请求，目标指向受保护资源（如/admin），并添加X-Forwarded-Uri头部指向探测到的免认证路径。

STEP 3

绕过验证

OAuth2 Proxy检测X-Forwarded-Uri匹配skip-auth规则，错误地跳过身份验证步骤。

STEP 4

获取权限

请求被转发至后端应用，后端根据原始请求行处理请求，攻击者成功获取未授权访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-40575
# Send a request to a protected endpoint (/admin) with a spoofed header
# assuming /public is in the --skip-auth-regex list.

curl -v http://target-oauth2-proxy.example.com/admin \
  -H "X-Forwarded-Uri: /public" \
  -H "User-Agent: PoC-Client"

影响范围

OAuth2 Proxy 7.5.0 - 7.15.1

防御指南

临时缓解措施

对于无法立即升级的用户，建议在基础设施层面进行缓解：确保在OAuth2 Proxy之前（如Nginx或负载均衡器）剥离或重写`X-Forwarded-Uri`头部，防止客户端直接控制该值。同时，收紧`--skip-auth-regex`或`--skip-auth-route`的配置范围，避免宽泛的路径匹配规则。此外，通过网络策略限制直接连接到OAuth2 Proxy实例的流量，强制流量必须经过清理过头部的外部代理。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表