Уязвимость BDU:2025-14556

Идентификатор: BDU:2025-14556.

Наименование уязвимости: Уязвимость прокси-сервера OAuth2-Proxy, связанная с обходом аутентификации посредством спуфинга, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость прокси-сервера OAuth2-Proxy связана с обходом аутентификации посредством спуфинга при обработке параметра skip_auth_routes. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Прикладное ПО информационных систем OAuth2-Proxy до 7.11.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 30.07.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,1)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/oauth2-proxy/oauth2-proxy/releases/tag/v7.11.0.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-54576.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/oauth2-proxy/oauth2-proxy/blob/f4b33b64bd66ad28e9b0d63bea51837b83c00ca1/oauthproxy.go#L582-L584
https://github.com/oauth2-proxy/oauth2-proxy/blob/f4b33b64bd66ad28e9b0d63bea51837b83c00ca1/pkg/requests/util/util.go#L37-L44
https://github.com/oauth2-proxy/oauth2-proxy/commit/9ffafad4b2d2f9f7668e5504565f356a7c047b77
https://github.com/oauth2-proxy/oauth2-proxy/releases/tag/v7.11.0
https://github.com/oauth2-proxy/oauth2-proxy/security/advisories/GHSA-7rh7-c77v-6434
https://oauth2-proxy.github.io/oauth2-proxy/configuration/overview/#proxy-options