Vulnerabilidad en keto de ory (CVE-2026-33505)

Ory Keto es un servidor de autorización de código abierto para gestionar permisos a escala. Antes de la versión 26.2.0, la API GetRelationships en Ory Keto es vulnerable a inyección SQL debido a fallos en su implementación de paginación. Los tokens de paginación están cifrados usando el secreto configurado en 'secrets.pagination'. Un atacante que conoce este secreto puede crear sus propios tokens, incluyendo tokens maliciosos que conducen a inyección SQL. Si este valor de configuración no está establecido, Keto recurre a un secreto de cifrado de paginación predeterminado codificado. Dado que este valor predeterminado es de conocimiento público, los atacantes pueden generar tokens de paginación válidos y maliciosos manualmente para instalaciones donde este secreto no está configurado. Este problema puede ser explotado cuando la API GetRelationships es directa o indirectamente accesible para el atacante, el atacante puede pasar un token de paginación sin procesar a la API afectada, y el valor de configuración 'secrets.pagination' no está establecido o es conocido por el atacante. Un atacante puede ejecutar consultas SQL arbitrarias a través de tokens de paginación falsificados. Como primera línea de defensa, configure inmediatamente un valor personalizado para 'secrets.pagination' generando un secreto aleatorio criptográficamente seguro. A continuación, actualice Keto a una versión corregida, 26.2.0 o posterior, tan pronto como sea posible.