Platform
javascript
Component
ory/polis
Opgelost in
26.2.1
CVE-2026-33506 is een DOM-based Cross-Site Scripting (XSS) kwetsbaarheid in Ory Polis. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige JavaScript code uit te voeren in de browser van een gebruiker, wat kan leiden tot credential diefstal of andere schadelijke acties. De kwetsbaarheid treft versies van Ory Polis lager dan 26.2.0. Deze kwetsbaarheid is verholpen in versie 26.2.0.
CVE-2026-33506 heeft betrekking op Ory Polis (voorheen BoxyHQ Jackson) versies vóór 26.2.0. Deze DOM-gebaseerde Cross-Site Scripting (XSS)-kwetsbaarheid bevindt zich in de login-functionaliteit. De applicatie vertrouwt onjuist een URL-parameter (callbackUrl) die aan router.push wordt doorgegeven. Een aanvaller kan een kwaadaardige link maken die, wanneer deze wordt geopend door een geauthenticeerde gebruiker (of een niet-geauthenticeerde gebruiker die later inlogt), een client-side redirect uitvoert. Dit kan de uitvoering van kwaadaardige JavaScript-code in de browsercontext van de gebruiker mogelijk maken, waardoor mogelijk gevoelige informatie wordt gecompromitteerd of acties namens de gebruiker worden uitgevoerd. Het risico is aanzienlijk, vooral in omgevingen waar authenticatiebeveiliging cruciaal is.
De kwetsbaarheid wordt uitgebuit door de manipulatie van de callbackUrl-parameter in een kwaadaardige URL. Een aanvaller kan deze link distribueren via e-mail, sociale media of andere kanalen. Wanneer een gebruiker op de link klikt, wordt de kwaadaardige JavaScript-code in zijn browser uitgevoerd. De voorafgaande authenticatie van de gebruiker (of zijn latere login) maakt het kwaadaardige code mogelijk om met de privileges van de gebruiker uit te voeren, waardoor de potentiële impact van de aanval toeneemt. De client-side redirect stelt de aanvaller in staat om de gebruiker naar een kwaadaardige website te leiden, die het uiterlijk van de legitieme applicatie nabootst.
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De oplossing om CVE-2026-33506 te mitigeren is het upgraden van Ory Polis naar versie 26.2.0 of hoger. Deze versie bevat een fix die de callbackUrl-parameter valideert en opschont, waardoor kwaadaardige code-injectie wordt voorkomen. Controleer bovendien de beveiligingsconfiguraties van uw applicatie en zorg ervoor dat best practices voor invoervalidatie en XSS-preventie zijn geïmplementeerd. Het monitoren van applicatielogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Het implementeren van een Content Security Policy (CSP) kan een extra beveiligingslaag bieden tegen XSS-aanvallen.
Actualice Ory Polis a la versión 26.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización eliminará la posibilidad de que un atacante ejecute código JavaScript arbitrario en el contexto del navegador de un usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Ory Polis is een tool die SAML-loginstromen naar OAuth 2.0 of OpenID Connect overbrugt of proxy.
Het upgraden naar versie 26.2.0 of hoger repareert de XSS-kwetsbaarheid en beschermt tegen potentiële aanvallen.
Als u een versie van Ory Polis gebruikt vóór 26.2.0, is de kans groot dat u getroffen bent.
XSS (Cross-Site Scripting) is een type kwetsbaarheid waarmee aanvallers kwaadaardige code in websites kunnen injecteren.
Het is een parameter in een URL die aangeeft waar de browser na een actie naartoe moet worden omgeleid, in dit geval de login.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.