CVE-2026-33757 — 神龙十问 AI 深度分析摘要
CVSS 9.6 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:OpenBao 在 JWT/OIDC 登录且 `callback_mode=direct` 时,**未提示用户确认**。 🔥 **后果**:极易引发**远程钓鱼攻击**,用户可能在不知情的情况下授权敏感数据访问。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-384(会话固定/强制浏览类缺陷)。 🔍 **缺陷点**:缺少**用户确认环节**,导致攻击者可诱导用户完成非预期的授权流程。
Q3影响谁?(版本/组件)
📦 **组件**:OpenBao(敏感数据管理软件)。 📅 **版本**:**OpenBao 2.5.2 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
💰 **权限**:攻击者利用**钓鱼**手段,诱导受害者授权。 📂 **数据**:可能导致**敏感数据泄露**或**未授权访问**,具体取决于受害者账户权限。
Q5利用门槛高吗?(认证/配置)
🚧 **门槛**:**中等**。 🔑 **条件**:需受害者使用 **JWT/OIDC** 登录,且管理员配置 `callback_mode` 为 **direct**。攻击者需具备**社会工程学**能力进行钓鱼。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **Exp**:目前**无公开 PoC**。 🌍 **在野**:暂无在野利用报告,但**钓鱼风险**极高,需警惕。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 OpenBao 配置中 OIDC 角色的 `callback_mode` 是否设为 **direct**。 📊 **扫描**:确认版本是否 **< 2.5.2**。
Q8官方修了吗?(补丁/缓解)
✅ **补丁**:已修复。 🔗 **参考**:GitHub Commit `e32103951925723e9787e33886ab6b6ec20f4964` 及 GHSA 公告。建议升级至 **2.5.2 或更高**。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:若无法升级,建议将 `callback_mode` 改为 **非 direct** 模式,或强制启用**二次确认/弹窗提示**机制。
Q10急不急?(优先级建议)
⚠️ **优先级**:**高**。 💡 **建议**:虽然利用需用户交互,但**钓鱼成本低、危害大**。建议**立即评估**受影响实例,优先升级或调整配置。