CVE-2026-33503
Ory Kratos has a SQL injection via forged pagination tokens
Em resumo
Ory Kratos permite que atacantes injetem código SQL malicioso através de tokens de paginação falsificados em sua API administrativa. Se o sistema usa um segredo de criptografia padrão ou conhecido, qualquer pessoa pode criar tokens prejudiciais para manipular o banco de dados.
Detalhe técnico
Vulnerabilidade de SQL injection na API administrativa ListCourierMessages via tokens de paginação falsificados criptografados com um segredo padrão ou conhecido. Um atacante com conhecimento do segredo de criptografia de paginação pode construir tokens maliciosos que contornam a validação de entrada, levando a consultas não autorizadas ao banco de dados e possível exposição ou alteração de dados. Afeta versões anteriores a 26.2.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Ory Kratos is an identity, user management and authentication system for cloud services. Prior to version 26.2.0, the ListCourierMessages Admin API in Ory Kratos is vulnerable to SQL injection due to flaws in its pagination implementation. Pagination tokens are encrypted using the secret configured in `secrets.pagination`. An attacker who knows this secret can craft their own tokens, including malicious tokens that lead to SQL injection. If this configuration value is not set, Kratos falls back to a default pagination encryption secret. Because this default value is publicly known, attackers can generate valid and malicious pagination tokens manually for installations where this secret is not set. As a first line of defense, immediately configure a custom value for `secrets.pagination` by generating a cryptographically secure random secret. Next, upgrade Kratos** to a fixed version, 26.2.0 or later, as soon as possible.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H