Zurück zur Liste

Heimdall has an authorization bypass via path normalization mismatch — CVE-2026-42274

GitHub · GitHub · CVE-2026-42274

ID
CVE-2026-42274
Datum
Aktualisiert
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
high
CVSS
7.8
EPSS
0.00047

Zusammenfassung

### Summary Heimdall performs rule matching on the raw (non-normalized) request path, while downstream components may normalize dot-segments according to [RFC 3986, Section 6.2.2.3](https://www.rfc-editor.org/rfc/rfc3986#section-6.2.2.3). This discrepancy can result in heimdall authorizing a request for one path (e.g., `/user/../admin`, or URL-encoded variants such as `/user/%2e%2e/admin` or `/user/%2e%2e%2fadmin`.…

Produkt

go: github.com/dadrus/heimdall

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W20