CVE-2025-66029

Nome do Software Vulnerável e Versões Afetadas Versões do Open OnDemand anteriores à 4.1

Descrição O Open OnDemand fornece acesso web remoto a supercomputadores. O proxy Apache nas versões 4.0.8 e anteriores permite que cabeçalhos sensíveis sejam repassados aos servidores de origem. Isso poderia permitir que usuários maliciosos criassem um servidor de origem em um nó de computação para registrar esses cabeçalhos quando usuários desprevenidos se conectassem a ele. A configuração OIDCPassClaimsAs pode ser ajustada para none ou environment para impedir o repasse de cabeçalhos ao cliente. Para centros com um provedor OIDC, os cookies mod auth openidc session podem ser ajustados usando as orientações fornecidas em GHSA-2cwp-8g29-9q32.

Recomendações Versões anteriores à 4.1 devem ser atualizadas quando o lançamento da 4.1 estiver disponível. Para versões 4.0.x, use custom location directives em ood portal.yml para remover ou editar cabeçalhos sensíveis. Defina OIDCPassClaimsAs como none ou environment. Ajuste os cookies mod auth openidc session usando as orientações fornecidas em GHSA-2cwp-8g29-9q32 para centros com um provedor OIDC.