Se ha descubierto una importante vulnerabilidad de seguridad en el módulo mod_auth_openidc de Apache que podría permitir el acceso no autorizado a recursos web protegidos.
La falla, identificada como CVE-2025-31492 y calificada con 8.2 en la escala CVSSv4, afecta los sistemas de autenticación OpenID Connect ampliamente implementados y requiere atención inmediata por parte de los administradores del sistema.
Un error crítico rastreado como CVE-2025-31492 en mod_auth_openidc, un módulo de autorización y autenticación certificado por OpenID para el servidor HTTP Apache que implementa la funcionalidad OpenID Connect Relying Party.
Según Peter Benie, quien reveló la vulnerabilidad, permite a usuarios no autenticados ver contenido que debería estar restringido tras protocolos de autenticación.
El problema, presente en todas las versiones anteriores a la 2.4.16.11, afecta específicamente a los sistemas configurados con OIDCProviderAuthRequestMethod POST y una política de autenticación de usuario válido, cuando no hay una puerta de enlace a nivel de aplicación (como un proxy inverso o un equilibrador de carga).
Bajo estas condiciones específicas, los recursos web protegidos se vuelven accesibles para cualquier persona, anulando efectivamente las protecciones de autenticación.
«Un error en mod_auth_openidc da como resultado la divulgación de contenido protegido a usuarios no autenticados», afirma el aviso de seguridad oficial publicado por OpenIDC.
El resumen de la vulnerabilidad se proporciona a continuación:
- Productos afectados: Versiones de Apache mod_auth_openidc <2.4.16.11
- Impacto: Divulgación no autorizada de contenido protegido, incluido el estado HTTP, encabezados y datos confidenciales.
- Requisitos previos: Configuración con OIDCProviderAuthRequestMethod POST: no hay puerta de enlace a nivel de aplicación ni equilibrador de carga que proteja el servidor
- Puntuación CVSS: 8.2 (Alto)
La vulnerabilidad se debe a una falla de implementación en el sistema de manejo de contenido del módulo.
Cuando un usuario no autenticado solicita un recurso protegido, el servidor responde con una respuesta de varias partes que contiene no sólo el formulario de autenticación sino también el contenido protegido real que debe permanecer oculto.
El problema se produce porque la función oidc_content_handler del módulo no comprueba correctamente este escenario de autenticación específico.
Al procesar solicitudes, devuelve DECLINED en lugar de bloquear el contenido protegido, lo que permite a Apache agregar contenido no autorizado a la respuesta.
En el caso de que mod_auth_openidc devuelva un formulario, debe devolver OK desde check_userid para no seguir la ruta de error en httpd.
Esto significa que httpd intentará emitir el recurso protegido. oidc_content_handler se llama temprano, lo que tiene la oportunidad de evitar que httpd emita la salida normal.
«Es difícil notar el error si estás utilizando una biblioteca HTTP para realizar solicitudes: los datos no válidos se eliminarán silenciosamente, se creará una nueva conexión y el usuario final no se dará cuenta», explica el aviso.
Mitigación
Las organizaciones que utilizan configuraciones afectadas deben tomar medidas inmediatas para abordar esta vulnerabilidad. Hay varias opciones de mitigación disponibles:
- Actualización a la versión parcheada: el problema se solucionó en mod_auth_openidc versión 2.4.16.11 y posteriores.
- Cambiar el método de autenticación: cambiar a OIDCProviderAuthRequestMethod GET (que es la configuración predeterminada) evita desencadenar la vulnerabilidad.
- Implementar una puerta de enlace: implementar una puerta de enlace a nivel de aplicación o un proxy inverso puede ocultar eficazmente el contenido filtrado a usuarios no autenticados.
«Si hay una puerta de enlace a nivel de aplicación que protege el servidor, se mitiga el problema al ocultar el contenido adicional del mundo exterior», señala el aviso de seguridad.
La vulnerabilidad afecta a numerosas distribuciones y plataformas de Linux que utilizan el módulo Apache.
Las principales distribuciones, incluida Ubuntu, han señalado el problema para su evaluación en múltiples versiones. Es probable que Red Hat, que anteriormente abordó problemas de seguridad en mod_auth_openidc, lance parches para los sistemas afectados.
Las organizaciones que utilizan la autenticación OpenID Connect para servidores Apache deben auditar sus configuraciones de inmediato e implementar las mitigaciones recomendadas para proteger los recursos web confidenciales del acceso no autorizado.
