Plattform
javascript
Komponente
ory/polis
Behoben in
26.2.1
CVE-2026-33506 describes a DOM-based Cross-Site Scripting (XSS) vulnerability affecting Ory Polis (formerly BoxyHQ Jackson) versions prior to 26.2.0. The application improperly trusts a URL parameter, allowing attackers to execute arbitrary JavaScript in a user's browser. This could lead to credential theft or other malicious activities. Version 26.2.0 contains a fix for this vulnerability.
CVE-2026-33506 betrifft Ory Polis (ehemals BoxyHQ Jackson) in Versionen vor 26.2.0. Diese DOM-basierte Cross-Site Scripting (XSS)-Schwachstelle befindet sich in der Login-Funktionalität. Die Anwendung vertraut fälschlicherweise auf einen URL-Parameter (callbackUrl), der an router.push übergeben wird. Ein Angreifer kann einen bösartigen Link erstellen, der, wenn er von einem authentifizierten Benutzer (oder einem nicht authentifizierten Benutzer, der sich später anmeldet) geöffnet wird, eine clientseitige Umleitung durchführt. Dies könnte die Ausführung von bösartigem JavaScript-Code im Kontext des Browsers des Benutzers ermöglichen, wodurch möglicherweise sensible Informationen kompromittiert oder Aktionen im Namen des Benutzers ausgeführt werden. Das Risiko ist erheblich, insbesondere in Umgebungen, in denen die Sicherheit der Authentifizierung kritisch ist.
Die Schwachstelle wird durch die Manipulation des callbackUrl-Parameters in einer bösartigen URL ausgenutzt. Ein Angreifer könnte diesen Link über E-Mail, soziale Medien oder andere Kanäle verteilen. Wenn ein Benutzer auf den Link klickt, wird der bösartige JavaScript-Code in seinem Browser ausgeführt. Die vorherige Authentifizierung des Benutzers (oder seine anschließende Anmeldung) ermöglicht es dem bösartigen Code, mit den Berechtigungen des Benutzers ausgeführt zu werden, was die potenziellen Auswirkungen des Angriffs erhöht. Die clientseitige Umleitung ermöglicht es dem Angreifer, den Benutzer auf eine bösartige Website umzuleiten, die das Erscheinungsbild der legitimen Anwendung imitiert.
Exploit-Status
EPSS
0.07% (22% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung von CVE-2026-33506 ist das Upgrade von Ory Polis auf Version 26.2.0 oder höher. Diese Version enthält eine Korrektur, die den callbackUrl-Parameter validiert und bereinigt und so die Code-Injektion verhindert. Überprüfen Sie außerdem die Sicherheitseinstellungen Ihrer Anwendung und stellen Sie sicher, dass Best Practices für die Eingabevalidierung und die XSS-Verhinderung implementiert sind. Die Überwachung der Anwendungslogs auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Die Implementierung einer Content Security Policy (CSP) kann eine zusätzliche Verteidigungsschicht gegen XSS-Angriffe bieten.
Actualice Ory Polis a la versión 26.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización eliminará la posibilidad de que un atacante ejecute código JavaScript arbitrario en el contexto del navegador de un usuario.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ory Polis ist ein Tool, das SAML-Login-Flüsse zu OAuth 2.0 oder OpenID Connect brückt oder proxy.
Das Upgrade auf Version 26.2.0 oder höher behebt die XSS-Schwachstelle und schützt vor potenziellen Angriffen.
Wenn Sie eine Version von Ory Polis vor 26.2.0 verwenden, sind Sie wahrscheinlich betroffen.
XSS (Cross-Site Scripting) ist eine Art von Schwachstelle, die es Angreifern ermöglicht, bösartigen Code in Websites einzuschleusen.
Es ist ein Parameter in einer URL, der angibt, wohin der Browser nach einer Aktion umgeleitet werden soll, in diesem Fall die Anmeldung.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.