Escanear grátis
HIGHCVE-2026-33506CVSS 8.8

XSS baseado em DOM na página de login do Ory Polis

Plataforma

javascript

Componente

ory/polis

Corrigido em

26.2.1

AI Confidence: highNVDEPSS 0.1%Revisado: mar. de 2026
Ver no NVD
Salvar

A vulnerabilidade CVE-2026-33506 é um Cross-Site Scripting (XSS) baseado em DOM no Ory Polis, anteriormente BoxyHQ Jackson. A falha permite que um atacante execute JavaScript arbitrário no navegador de um usuário, potencialmente levando ao roubo de credenciais. Afeta versões anteriores à 26.2.0. A vulnerabilidade foi corrigida na versão 26.2.0.

Impacto e Cenários de Ataque

CVE-2026-33506 afeta o Ory Polis (anteriormente BoxyHQ Jackson) em versões anteriores a 26.2.0. Esta vulnerabilidade de Cross-Site Scripting (XSS) baseada no DOM está presente na funcionalidade de login. O aplicativo confia incorretamente em um parâmetro de URL (callbackUrl) que é passado para router.push. Um atacante pode criar um link malicioso que, ao ser aberto por um usuário autenticado (ou um usuário não autenticado que posteriormente faça login), realiza um redirecionamento do lado do cliente. Isso pode permitir a execução de código JavaScript malicioso no contexto do navegador do usuário, comprometendo potencialmente informações confidenciais ou realizando ações em nome do usuário. O risco é significativo, especialmente em ambientes onde a segurança da autenticação é crítica.

Contexto de Exploração

A vulnerabilidade é explorada através da manipulação do parâmetro callbackUrl em uma URL maliciosa. Um atacante pode distribuir este link por e-mail, redes sociais ou outros canais. Quando um usuário clica no link, o código JavaScript malicioso é executado no navegador. A autenticação prévia do usuário (ou seu login subsequente) permite que o código malicioso seja executado com os privilégios do usuário, aumentando o impacto potencial do ataque. O redirecionamento do lado do cliente permite que o atacante redirecione o usuário para um site malicioso, imitando a aparência do aplicativo legítimo.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios2 relatórios de ameaças

EPSS

0.07% (percentil 22%)

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:L8.8HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionRequiredSe a vítima precisa tomar uma açãoScopeChangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityLowRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
Scope
Alterado — o ataque pode pivotar para além do componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Baixo — negação de serviço parcial ou intermitente.

Software Afetado

Componenteory/polis
Fornecedorory
Faixa afetadaCorrigido em
< 26.2.0 – < 26.2.026.2.1

Classificação de Fraqueza (CWE)

CWE-87CWE-601

Linha do tempo

  1. Reservado
  2. Publicada
  3. EPSS atualizado

Mitigação e Soluções Alternativas

A solução para mitigar CVE-2026-33506 é atualizar o Ory Polis para a versão 26.2.0 ou superior. Esta versão inclui uma correção que valida e higieniza o parâmetro callbackUrl, prevenindo a injeção de código malicioso. Além disso, recomenda-se revisar as configurações de segurança do aplicativo, garantindo que as melhores práticas para validação de entrada e prevenção de XSS sejam implementadas. Monitorar os logs do aplicativo em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques. A implementação de uma Política de Segurança de Conteúdo (CSP) pode fornecer uma camada adicional de defesa contra ataques XSS.

Como corrigirtraduzindo…

Actualice Ory Polis a la versión 26.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización eliminará la posibilidad de que un atacante ejecute código JavaScript arbitrario en el contexto del navegador de un usuario.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentes

O que é CVE-2026-33506 — Cross-Site Scripting (XSS) em Ory Polis?

Ory Polis é uma ferramenta que atua como uma ponte ou proxy para fluxos de login SAML para OAuth 2.0 ou OpenID Connect.

Estou afetado pelo CVE-2026-33506 no Ory Polis?

Atualizar para a versão 26.2.0 ou superior corrige a vulnerabilidade XSS e protege contra possíveis ataques.

Como corrijo o CVE-2026-33506 no Ory Polis?

Se você estiver usando uma versão do Ory Polis anterior a 26.2.0, provavelmente estará afetado.

O CVE-2026-33506 está sendo explorado ativamente?

XSS (Cross-Site Scripting) é um tipo de vulnerabilidade que permite que atacantes injetem código malicioso em sites.

Onde encontro o aviso oficial do Ory Polis para o CVE-2026-33506?

É um parâmetro em uma URL que especifica para onde o navegador deve ser redirecionado após uma ação, neste caso, o login.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs