OAuth2 Proxy - CVE-2026-40575

Date de publication : 16/04/2026

Il s'agit d'une vulnérabilité dans la gestion du header HTTP X-Forwarded-Uri au sein d'OAuth2 Proxy, dans les déploiements utilisant conjointement le mode --reverse-proxy et des règles --skip-auth-routes ou --skip-auth-regex.

OAuth2 Proxy est un reverse proxy open source en Go, conçu pour placer une couche d'authentification OAuth2 devant des applications web qui n'en disposent pas nativement. Il est utilisé dans les architectures Kubernetes et cloud-native pour sécuriser l'accès à des outils internes tels que des tableaux de bord de supervision, des interfaces d'administration ou des API, notamment dans les environnements de santé ayant modernisé leur infrastructure.

Dans cette configuration, OAuth2 Proxy fait confiance au header X-Forwarded-Uri fourni directement par le client sans vérification de son origine. Un attaquant peut forger ce header pour soumettre un chemin arbitraire, amenant le proxy à évaluer ses règles d'authentification et de contournement contre ce chemin falsifié plutôt que contre la requête réellement transmise à l'application en amont.

Elle permet à un attaquant distant non authentifié de contourner l'authentification et d'accéder à des routes protégées sans session valide, en exploitant la confiance accordée à un header HTTP contrôlable par le client.

CVE-2026-40575

[Score CVSS v3.1 : 9.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-290 : Authentication Bypass by Spoofing

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

OAuth2 Proxy versions 7.5.0 jusqu'à 7.15.1 inclus

Contournement provisoire

•   Supprimer le header X-Forwarded-Uri fourni par le client au niveau du reverse proxy ou du load balancer en amont
•   Réécrire explicitement le header X-Forwarded-Uri avec l'URI réelle avant transmission à OAuth2 Proxy
•   Restreindre l'accès direct à OAuth2 Proxy pour qu'il ne soit joignable que depuis un reverse proxy de confiance
•   Réduire ou supprimer les règles --skip-auth-route / --skip-auth-regex dans la mesure du possible

Solutions ou recommandations

OAuth2 Proxy version 7.15.2 et supérieures (avec configuration obligatoire du flag --trusted-proxy-ip après mise à jour)