CVE-2026-41059 CVSS 8.2 高危

CVE-2026-41059 OAuth2 Proxy认证绕过漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41059

漏洞类型

认证绕过

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OAuth2 Proxy

漏洞概述

OAuth2 Proxy在7.5.0至7.15.1版本中存在一个依赖于特定配置的身份验证绕过漏洞。当系统启用了`skip_auth_routes`或`skip_auth_regex`功能，并且使用了可被后缀扩展的正则表达式模式时，攻击者可以利用URL片段标识符绕过安全检查。具体而言，攻击者发送包含井号或其编码形式的恶意请求，欺骗代理匹配公开路径规则，从而成功访问本应受保护的后端敏感资源。

技术细节

该漏洞的核心在于OAuth2 Proxy处理URL路径规范化时的逻辑缺陷。在受影响的版本中，如果部署环境使用了`skip_auth_routes`或遗留的`skip_auth_regex`配置，且正则表达式模式（如`^/foo/.*/bar$`）允许通过攻击者控制的后缀来扩展匹配范围，系统便面临风险。攻击者无需经过身份认证，即可构造包含`#`或`%23`（浏览器安全编码形式）的特制HTTP请求。由于OAuth2 Proxy在进行跳过认证匹配时，未能正确处理URL片段内容，导致请求被匹配到允许公开访问的规则列表。然而，后端应用程序通常将`#`视为片段分隔符并忽略其后的内容，或者将请求路由到受保护的基路径（例如`/foo/secret`）。这种处理差异使得攻击者能够绕过代理层的安全验证，直接获取受保护应用的敏感数据或执行未授权操作。官方在7.15.2版本中通过更保守地规范化请求路径解决了该问题。

攻击链分析

STEP 1

侦察

攻击者识别目标使用OAuth2 Proxy，并发现配置了`skip_auth_routes`或`skip_auth_regex`，且规则使用了宽泛的正则表达式。

STEP 2

构造请求

攻击者构造一个包含`#`或`%23`的恶意URL路径，旨在匹配跳过认证的公开规则，但实际指向受保护的资源。

STEP 3

绕过验证

OAuth2 Proxy处理请求，匹配到跳过认证的规则，放行请求。

STEP 4

获取资源

后端应用解析URL，忽略`#`后的片段，将请求路由到受保护的敏感路径，返回数据给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept: Exploiting skip_auth_regex with fragment identifier
# Vulnerable configuration example: skip_auth_regex = ^/public/.*
# Protected target: /admin/config

GET /public/../admin%23config HTTP/1.1
Host: vulnerable-oauth2-proxy.example.com
User-Agent: Mozilla/5.0

# Explanation:
# OAuth2 Proxy sees path "/public/../admin%23config"
# It decodes %23 to # and matches against "^/public/.*" (if logic permits) or treats fragment as part of path for regex matching against allowlist.
# The backend receives the request, strips the fragment "#config", and routes to "/admin/".

影响范围

OAuth2 Proxy 7.5.0 - 7.15.1

防御指南

临时缓解措施

对于无法立即升级的用户，建议审查并收紧或移除`skip_auth_routes`和`skip_auth_regex`规则，避免使用跨路径段的宽泛通配符。同时，建议在流量入口、负载均衡器或WAF处配置规则，拦截URL路径中包含`#`或`%23`字符的请求，以降低攻击风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表