Plataforma
javascript
Componente
ory/polis
Corrigido em
26.2.1
A vulnerabilidade CVE-2026-33506 é um Cross-Site Scripting (XSS) baseado em DOM no Ory Polis, anteriormente BoxyHQ Jackson. A falha permite que um atacante execute JavaScript arbitrário no navegador de um usuário, potencialmente levando ao roubo de credenciais. Afeta versões anteriores à 26.2.0. A vulnerabilidade foi corrigida na versão 26.2.0.
CVE-2026-33506 afeta o Ory Polis (anteriormente BoxyHQ Jackson) em versões anteriores a 26.2.0. Esta vulnerabilidade de Cross-Site Scripting (XSS) baseada no DOM está presente na funcionalidade de login. O aplicativo confia incorretamente em um parâmetro de URL (callbackUrl) que é passado para router.push. Um atacante pode criar um link malicioso que, ao ser aberto por um usuário autenticado (ou um usuário não autenticado que posteriormente faça login), realiza um redirecionamento do lado do cliente. Isso pode permitir a execução de código JavaScript malicioso no contexto do navegador do usuário, comprometendo potencialmente informações confidenciais ou realizando ações em nome do usuário. O risco é significativo, especialmente em ambientes onde a segurança da autenticação é crítica.
A vulnerabilidade é explorada através da manipulação do parâmetro callbackUrl em uma URL maliciosa. Um atacante pode distribuir este link por e-mail, redes sociais ou outros canais. Quando um usuário clica no link, o código JavaScript malicioso é executado no navegador. A autenticação prévia do usuário (ou seu login subsequente) permite que o código malicioso seja executado com os privilégios do usuário, aumentando o impacto potencial do ataque. O redirecionamento do lado do cliente permite que o atacante redirecione o usuário para um site malicioso, imitando a aparência do aplicativo legítimo.
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A solução para mitigar CVE-2026-33506 é atualizar o Ory Polis para a versão 26.2.0 ou superior. Esta versão inclui uma correção que valida e higieniza o parâmetro callbackUrl, prevenindo a injeção de código malicioso. Além disso, recomenda-se revisar as configurações de segurança do aplicativo, garantindo que as melhores práticas para validação de entrada e prevenção de XSS sejam implementadas. Monitorar os logs do aplicativo em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques. A implementação de uma Política de Segurança de Conteúdo (CSP) pode fornecer uma camada adicional de defesa contra ataques XSS.
Actualice Ory Polis a la versión 26.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización eliminará la posibilidad de que un atacante ejecute código JavaScript arbitrario en el contexto del navegador de un usuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Ory Polis é uma ferramenta que atua como uma ponte ou proxy para fluxos de login SAML para OAuth 2.0 ou OpenID Connect.
Atualizar para a versão 26.2.0 ou superior corrige a vulnerabilidade XSS e protege contra possíveis ataques.
Se você estiver usando uma versão do Ory Polis anterior a 26.2.0, provavelmente estará afetado.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade que permite que atacantes injetem código malicioso em sites.
É um parâmetro em uma URL que especifica para onde o navegador deve ser redirecionado após uma ação, neste caso, o login.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.