CVE-2026-33504 CVSS 7.2 高危

CVE-2026-33504 Ory Hydra SQL注入漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33504

漏洞类型

SQL注入

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Ory Hydra

漏洞概述

Ory Hydra是一个开源的OAuth 2.0服务器和OpenID Connect提供商。在26.2.0版本之前，其Admin API（包括listOAuth2Clients、listOAuth2ConsentSessions和listTrustedOAuth2JwtGrantIssuers）中的分页实现存在严重安全缺陷。由于分页令牌的加密机制存在漏洞，若攻击者知晓用于加密的密钥（即secrets.pagination或回退的secrets.system），便能够伪造包含恶意SQL语句的令牌。当受影响的Admin API直接或间接暴露给攻击者时，攻击者可通过传递特制的分页令牌执行任意SQL查询，从而导致数据泄露、篡改或系统完整性受损。

技术细节

该漏洞的根源在于Ory Hydra Admin API的分页机制实现存在逻辑缺陷，导致SQL注入风险。受影响的接口包括listOAuth2Clients、listOAuth2ConsentSessions和listTrustedOAuth2JwtGrantIssuers。系统利用配置项secrets.pagination对分页令牌进行加密处理，若该配置项缺失，系统会自动回退使用secrets.system作为密钥。攻击者一旦通过信息泄露或其他途径获取了该密钥，便能够解密合法的分页令牌以理解其结构，进而利用该密钥加密包含恶意SQL语句的伪造令牌。由于后端服务在解析分页令牌时未能对解密后的内容进行严格的输入验证和清洗，直接将其拼接到SQL查询语句中，导致攻击者可以通过发送特制的HTTP请求执行任意SQL命令。尽管攻击前提需要较高的用户权限（PR:H），但一旦漏洞被利用，攻击者将完全掌控数据库，造成严重的数据泄露、篡改或系统服务不可用。

攻击链分析

STEP 1

信息收集

识别目标使用的是Ory Hydra，且版本低于26.2.0。

STEP 2

密钥获取

通过漏洞利用、信息泄露或配置错误获取secrets.pagination或secrets.system的值。

STEP 3

令牌伪造

利用获取到的密钥，加密包含恶意SQL代码的分页令牌。

STEP 4

漏洞利用

向受影响的Admin API发送带有恶意分页令牌的HTTP请求。

STEP 5

执行攻击

后端解析令牌并执行SQL注入，导致数据泄露或破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import base64
# Conceptual PoC for CVE-2026-33504: Ory Hydra SQL Injection via Pagination Token
# This script demonstrates sending a crafted token if the encryption secret is known.

TARGET_URL = "https://hydra.example.com/admin/oauth2-clients"
# The attacker needs to encrypt the payload. Assuming AES-GCM or similar as per Hydra implementation.
# This is a placeholder for the encryption logic.
MALICIOUS_SQL_PAYLOAD = "1; DROP TABLE oauth2_clients--"
# SECRET = "leaked_system_secret" 

# def encrypt_token(payload, secret):
#     # Implementation of Hydra's token encryption would go here
#     return base64.b64encode(f"encrypted_{payload}").decode()

# forged_token = encrypt_token(MALICIOUS_SQL_PAYLOAD, SECRET)

headers = {
    "Authorization": "Bearer <ADMIN_TOKEN>",
    "Content-Type": "application/json"
}

params = {
    "page_size": 10,
    "page_token": "<FORGED_PAGINATION_TOKEN>" 
}

try:
    response = requests.get(TARGET_URL, headers=headers, params=params)
    if response.status_code == 200:
        print("[+] Potential SQL Injection executed.")
        print(response.text)
    else:
        print(f"[-] Request failed: {response.status_code}")
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

Ory Hydra < 26.2.0

防御指南

临时缓解措施

作为第一道防线，应立即通过生成加密安全的随机密钥来为secrets.pagination配置自定义值。此外，应确保secrets.system的复杂性和保密性，并严格限制对Admin API的网络访问，仅对必要的服务器开放白名单。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表