Vulnerabilidad en OAuth2-Proxy (CVE-2025-54576)

OAuth2-Proxy es una herramienta de código abierto que puede actuar como proxy inverso independiente o como componente de middleware integrado en configuraciones existentes de proxy inverso o balanceador de carga. En las versiones 7.10.0 y anteriores, las implementaciones de OAuth2-Proxy son vulnerables al usar la opción de configuración skip_auth_routes con patrones de expresiones regulares. Los atacantes pueden eludir la autenticación manipulando una URL con parámetros de consulta que cumplen con los patrones de expresiones regulares configurados, lo que permite el acceso no autorizado a recursos protegidos. El problema se debe a que skip_auth_routes coincide con la URI de solicitud completa. Las implementaciones que utilizan skip_auth_routes con patrones de expresiones regulares que contienen comodines o patrones de coincidencia general son las más vulnerables. Este problema se solucionó en la versión 7.11.0. Las soluciones alternativas incluyen: auditar todas las configuraciones de skip_auth_routes para detectar patrones excesivamente permisivos, reemplazar los patrones comodín con coincidencias de ruta exactas cuando sea posible, garantizar que los patrones de expresiones regulares estén correctamente anclados (empezando por ^ y terminando por $) o implementar una validación personalizada que elimine los parámetros de consulta antes de la coincidencia con las expresiones regulares.