प्लेटफ़ॉर्म
javascript
घटक
ory/polis
में ठीक किया गया
26.2.1
CVE-2026-33506, Ory Polis में एक DOM-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण लिंक बनाने की अनुमति देती है, जो उपयोगकर्ता के ब्राउज़र में मनमाना जावास्क्रिप्ट निष्पादित कर सकती है, जिससे क्रेडेंशियल चोरी हो सकते हैं। यह भेद्यता 26.2.0 से पहले के संस्करणों को प्रभावित करती है। संस्करण 26.2.0 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-33506 Ory Polis (पूर्व में BoxyHQ Jackson) के 26.2.0 से पहले के संस्करणों को प्रभावित करता है। यह DOM-आधारित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता लॉगिन कार्यक्षमता के भीतर मौजूद है। एप्लिकेशन router.push को पारित URL पैरामीटर (callbackUrl) पर गलत तरीके से भरोसा करता है। एक हमलावर एक दुर्भावनापूर्ण लिंक बना सकता है जिसे प्रमाणित उपयोगकर्ता (या बाद में लॉग इन करने वाला गैर-प्रमाणित उपयोगकर्ता) खोलने पर, क्लाइंट-साइड रीडायरेक्ट निष्पादित किया जाएगा। यह उपयोगकर्ता के ब्राउज़र संदर्भ में दुर्भावनापूर्ण JavaScript कोड को निष्पादित करने की अनुमति दे सकता है, जिससे संभावित रूप से संवेदनशील जानकारी से समझौता हो सकता है या उपयोगकर्ता की ओर से कार्रवाई की जा सकती है। प्रमाणीकरण सुरक्षा के लिए महत्वपूर्ण वातावरण में, जोखिम अधिक है।
यह भेद्यता दुर्भावनापूर्ण URL में callbackUrl पैरामीटर में हेरफेर करके शोषण की जाती है। एक हमलावर इस लिंक को ईमेल, सोशल मीडिया या अन्य चैनलों के माध्यम से वितरित कर सकता है। जब कोई उपयोगकर्ता लिंक पर क्लिक करता है, तो दुर्भावनापूर्ण JavaScript कोड उसके ब्राउज़र में निष्पादित होता है। उपयोगकर्ता का पूर्व प्रमाणीकरण (या बाद में लॉग इन करना) दुर्भावनापूर्ण कोड को उपयोगकर्ता की अनुमति के साथ निष्पादित करने की अनुमति देता है, जिससे हमले का संभावित प्रभाव बढ़ जाता है। क्लाइंट-साइड रीडायरेक्ट हमलावर को उपयोगकर्ता को एक दुर्भावनापूर्ण वेबसाइट पर रीडायरेक्ट करने की अनुमति देता है, जो वैध एप्लिकेशन के रूप की नकल करता है।
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33506 को कम करने का समाधान Ory Polis को संस्करण 26.2.0 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो callbackUrl पैरामीटर को मान्य और सैनिटाइज करता है, जिससे दुर्भावनापूर्ण कोड इंजेक्शन को रोका जा सकता है। इसके अतिरिक्त, अपने एप्लिकेशन की सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि इनपुट सत्यापन और XSS रोकथाम के लिए सर्वोत्तम अभ्यास लागू किए गए हैं। संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की निगरानी भी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से XSS हमलों के खिलाफ एक अतिरिक्त रक्षा परत प्रदान की जा सकती है।
Actualice Ory Polis a la versión 26.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización eliminará la posibilidad de que un atacante ejecute código JavaScript arbitrario en el contexto del navegador de un usuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Ory Polis एक उपकरण है जो SAML लॉगिन प्रवाह को OAuth 2.0 या OpenID Connect में ब्रिज या प्रॉक्सी करता है।
संस्करण 26.2.0 या उच्चतर में अपग्रेड करने से XSS भेद्यता ठीक हो जाती है और संभावित हमलों से सुरक्षा मिलती है।
यदि आप Ory Polis के 26.2.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की भेद्यता है जो हमलावरों को वेबसाइटों में दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति देती है।
यह एक URL पैरामीटर है जो निर्दिष्ट करता है कि कार्रवाई (इस मामले में लॉगिन) के बाद ब्राउज़र को कहां रीडायरेक्ट किया जाना चाहिए।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।