Plateforme
javascript
Composant
ory/polis
Corrigé dans
26.2.1
La vulnérabilité CVE-2026-33506 est une faille de type Cross-Site Scripting (XSS) présente dans Ory Polis. Elle permet à un attaquant d'exécuter du code JavaScript arbitraire dans le navigateur d'un utilisateur, potentiellement menant au vol d'identifiants. Les versions affectées sont celles antérieures à la version 26.2.0. La version 26.2.0 corrige cette vulnérabilité.
CVE-2026-33506 affecte Ory Polis (anciennement BoxyHQ Jackson) versions antérieures à 26.2.0. Cette vulnérabilité XSS (Cross-Site Scripting) basée sur le DOM se trouve dans la fonctionnalité de connexion. L'application fait confiance de manière incorrecte à un paramètre d'URL (callbackUrl) transmis à router.push. Un attaquant peut créer un lien malveillant qui, lorsqu'il est ouvert par un utilisateur authentifié (ou un utilisateur non authentifié qui se connecte ultérieurement), effectue une redirection côté client. Cela pourrait permettre l'exécution de code JavaScript malveillant dans le contexte du navigateur de l'utilisateur, compromettant potentiellement des informations sensibles ou effectuant des actions en son nom. Le risque est important, en particulier dans les environnements où la sécurité de l'authentification est essentielle.
La vulnérabilité est exploitée par la manipulation du paramètre callbackUrl dans une URL malveillante. Un attaquant peut distribuer ce lien par e-mail, via les réseaux sociaux ou par d'autres canaux. Lorsque l'utilisateur clique sur le lien, le code JavaScript malveillant s'exécute dans son navigateur. L'authentification préalable de l'utilisateur (ou sa connexion ultérieure) permet au code malveillant de s'exécuter avec les privilèges de l'utilisateur, augmentant ainsi l'impact potentiel de l'attaque. La redirection côté client permet à l'attaquant de rediriger l'utilisateur vers un site Web malveillant, imitant l'apparence de l'application légitime.
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-33506 consiste à mettre à niveau Ory Polis vers la version 26.2.0 ou supérieure. Cette version inclut une correction qui valide et assainit le paramètre callbackUrl, empêchant l'injection de code malveillant. De plus, examinez les configurations de sécurité de votre application, en vous assurant que les meilleures pratiques en matière de validation des entrées et de prévention des XSS sont mises en œuvre. La surveillance des journaux de l'application à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles. La mise en œuvre d'une politique de sécurité du contenu (CSP) peut fournir une couche de défense supplémentaire contre les attaques XSS.
Actualice Ory Polis a la versión 26.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización eliminará la posibilidad de que un atacante ejecute código JavaScript arbitrario en el contexto del navegador de un usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Ory Polis est un outil qui sert de pont ou de proxy pour les flux de connexion SAML vers OAuth 2.0 ou OpenID Connect.
La mise à niveau vers la version 26.2.0 ou supérieure corrige la vulnérabilité XSS et protège contre les attaques potentielles.
Si vous utilisez une version d'Ory Polis antérieure à 26.2.0, vous êtes probablement affecté.
XSS (Cross-Site Scripting) est un type de vulnérabilité qui permet aux attaquants d'injecter du code malveillant dans des sites Web.
C'est un paramètre dans une URL qui spécifie où le navigateur doit être redirigé après une action, dans ce cas, la connexion.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.