## CVE-2026-33186 : un slash manquant dans le chemin HTTP/2 suffit à contourner l'autorisation gRPC-Go
Une vulnérabilité critique touche gRPC-Go. Selon les données disponibles, l'absence d'un slash dans l'en-tête `:path` HTTP/2 permettrait de contourner l'ensemble des mécanismes d'autorisation du framework. La faille, baptisée CVE-2026-33186, affiche un CVSS de 9.1, traduisant une gravité élevée dans l'évaluation officielle.

Le problème réside dans la gestion du chemin de requête par gRPC-Go lors des échanges HTTP/2. Un chemin mal normalisé — ici, l'absence d'un slash inaugural — pourrait induire une divergence entre le chemin tel qu'il est interprété par le routeur et celui évalué par le middleware d'autorisation. Cette brèche permet potentiellement à un attaquant d'atteindre des points de terminaison protégés sans disposer des droits requis.

Malgré la sévérité apparente, l'EPSS (Exploit Prediction Scoring System) reste à 0%, suggérant un risque théorique et une exploitation en условия réelles encore non documentée. Cette configuration — CVSS élevé, EPSS nul — classe la vulnérabilité dans la catégorie des failles « académiques » : signal fort, impact potentiel important, mais absence de preuve d'exploitation active. Les équipes utilisant gRPC-Go en production sont néanmoins invitées à vérifier leur configuration de routage et à appliquer les correctifs disponibles via les canaux officiels du projet.
---
- **Source**: Mastodon:mastodon.social:#infosec
- **Sector**: The Lab
- **Tags**: CVE-2026-33186, gRPC-Go, HTTP/2, authorization-bypass, infosec
- **Credibility**: unverified
- **Published**: 2026-05-13 09:18:29
- **ID**: 82549
- **URL**: https://whisperx.ai/en/intel/82549