CVE-2026-34454

Name of the Vulnerable Software and Affected Versions OAuth2 Proxy versões 7.11.0 até 7.15.1

Description Uma regressão impede que o proxy reverso limpe o cookie de sessão ao renderizar a página de login. Em implementações que dependem da página de login como parte do fluxo de logout, a sessão do navegador permanece válida mesmo quando a página de login é exibida. Isso pode permitir que um usuário subsequente em uma estação de trabalho ou dispositivo compartilhado acesse a sessão autenticada do usuário anterior. Implementações que utilizam um endpoint de logout/sign-out dedicado para encerrar sessões não são afetadas.

Recommendations Atualizar para a versão 7.15.2. Utilizar o endpoint de logout/sign-out dedicado do OAuth2 Proxy em vez de depender da página de login para limpar sessões. Garantir que o fluxo de logout da aplicação limpe explicitamente o cookie de sessão do OAuth2 Proxy antes de redirecionar os usuários para a página de login. Limpar o cookie de sessão na camada de proxy reverso ou de aplicação como uma mitigação temporária.