Google, Azure, OpenID Connect ve diğer birçok kimlik sağlayıcısı için kimlik doğrulama hizmetleri sağlayan yaygın olarak kullanılan bir ters proxy olan OAuth2-Proxy’de kritik bir güvenlik açığı tanımlanmıştır.
CVE-2025-54576 olarak adlandırılan güvenlik açığı, saldırganların hazırlanmış URL’lerde sorgu parametrelerini manipüle ederek, korunan kaynaklara yetkisiz erişim sağlayarak kimlik doğrulama mekanizmalarını atlamalarını sağlar.
Key Takeaways
1. OAuth2-Proxy <7.10.0 has a critical authentication bypass.
2. System matches full URI instead of path-only, allowing malicious URLs to bypass security.
3. Upgrade to v7.11.0 and use specific regex patterns instead of wildcards.
OAuth2-Proxy Güvenlik Açığı
Güvenlik açığı, Skip_Auth_Routes Yapılandırma seçeneğini Regex desenleriyle kullanan OAuth2-proksi dağıtımlarını özellikle etkiler.
Güvenlik kusuru, sistemin, kimlik doğrulama bypass’ın, Skip_auth_Routes’un sadece belgelendiği yol bileşeninden ziyade tam istek URI’sine (hem yol hem de sorgu parametreleri dahil) eşleştiği için meydana geldiği yanlış işlenmesinden kaynaklanır.
Bu tutarsızlık, kötü niyetli aktörlerin URL’lere özel olarak hazırlanmış sorgu parametrelerini ekleyebilecekleri, yapılandırılmış Regex modellerini etkili bir şekilde tatmin edebilecekleri ve kimlik doğrulama kontrollerini atlatabilecekleri önemli bir saldırı vektörü oluşturur.
Örneğin, bir yapılandırma ayarı skip_auth_routes = [ “^/foo/.*/bar$” ] yalnızca/foo/bir şey/çubuklara erişim sağlanması amaçlanmıştır.
Güvenlik açığı kodu oauthproxy.go#l582-584 ve pkg/request/util/util.go#l37-l44’te bulunur;
Bu güvenlik açığı, yüksek gizlilik ve bütünlük etkisini yansıtan bir CVSS V3.1 skoru ile kritik olarak derecelendirilmiştir (CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: N).
En çok risk altındaki dağıtımlar, özellikle arka uç hizmetleri bilinmeyen sorgu parametrelerini göz ardı ettiğinde, joker karakter veya geniş eşleştirme desenleri içeren Regex desenleri olan Skip_auth_routes kullananları içerir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | OAuth2-Proxy sürümleri <7.10.0 |
| Darbe | – Kimlik Doğrulama Bypass- Korumalı kaynaklara yetkisiz erişim- yüksek gizlilik ve bütünlük uzlaşması |
| Önkoşuldan istismar | – Dağıtım, Skip_Auth_Routes Configuration- Bilinmeyen Sorgu Parametrelerini Göz ardı eden joker karakterlere veya geniş eşleştirme arka uç hizmetlerine sahip Regex desenleri kullanır. |
| CVSS 3.1 puanı | 9.1 (kritik) |
Hafifletme
OAUTH2-PROXY koruyucular, 7.11.0 sürümünü yamalı bir çözüm olarak yayınladı ve 7.10.0’ın altındaki etkilenen tüm sürümler için güvenlik açığını ele aldı.
Hemen azaltma için, güvenlik ekipleri aşırı izin veren desenler için tüm skip_auth_routes yapılandırmalarını denetlemeli, joker kalıpları mümkün olan yerlerde tam yol eşleşmeleri ile değiştirmeli ve rejex desenlerinin ^ ve $ işaretleyicileri kullanılarak düzgün bir şekilde sabitlenmesini sağlamalıdır.
Güvenli bir yapılandırma örneği, “^/public /.*” gibi geniş desenlerin aşağıdakiler gibi belirli yollarla değiştirilmesini içerir. [“^/public/assets$”, “^/public/health$”, “^/api/status$”].
Kuruluşlar, potansiyel kimlik doğrulama baypas saldırılarını önlemek için bu ara güvenlik önlemlerini uygularken yamalı sürüme yükseltmeye öncelik vermelidir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches