Zitadel
Уязвимости
48
Эксплуатируемые
0
Макс. CVSS
9.3
Макс. EPSS
0.02572
Распределение по критичности
Критический
4
Высокий
23
Средний
19
Низкий
2
Затронутые диапазоны версий
1.42.0–1.87.12.0.0–2.16.42.39.0–2.39.92.52.0–2.52.32.53.0–2.53.92.55.0–2.55.12.59.0–4.11.12.62.0–2.63.92.71.11–3.4.104.0.0-rc.1–4.0.0-rc.24.0.0-rc.1–4.6.04.0.0-rc.1–4.6.34.0.0-rc.1–4.6.64.0.0–4.11.04.0.0–4.12.04.0.0–4.12.14.0.0–4.12.24.0.0–4.7.14.0.0–4.9.1< 1.80.0-v2.20.0.20251208091519-4c879b47334e< 1.80.0-v2.20.0.20251210< 2.38.2< 2.38.3< 2.41.15
Также сопоставлено как (исходные строки): zitadel
Топ уязвимостей
CVE-2026-29191ZITADEL - это платформа для управления идентификацией с открытым исходным кодом. От версии 4.0.0 до 4.11.1 была обнаружена уязвимость в интерфейсе Zitadel V2 для входа в систему, что позволило получить возможное поглощение учетной записи через XSS в /saml-post Endpoint. Этот вопрос был исправлен в версии 4.12.0.
CVE-2026-29067ZITADEL - это платформа для управления идентификацией с открытым исходным кодом. От версии 4.0.0-rc.1 до 4.7.0 существует потенциальная уязвимость в механизме сброса пароля ZITADEL во входе V2. ZITADEL использует заголовок пересылаемых или X-Forwarded-Host из входящих запросов для построения URL-адреса для ссылки подтверждения сброса пароля. Эта ссылка, содержащая секретный код, затем отправляется по электронной почте пользователю. Эта проблема была исправлена в версии 4.7.1.
CVE-2024-49753Zitadel — это программное обеспечение инфраструктуры идентификации с открытым исходным кодом. В версиях до 2.64.1, 2.63.6, 2.62.8, 2.61.4, 2.60.4, 2.59.5 и 2.58.7 есть недостаток в механизме проверки URL-адресов действий Zitadel, позволяющий обходить ограничения, предназначенные для блокировки запросов к localhost (127.0.0.1). Проверка isHostBlocked, предназначенная для предотвращения таких запросов, может быть обойдена путем создания DNS-записи, которая разрешается в 127.0.0.1. Это позволяет действиям отправлять запросы на localhost, несмотря на предполагаемые меры безопасности. Эта уязвимость потенциально позволяет несанкционированный доступ к незащищенным внутренним конечным точкам, которые могут содержать конфиденциальную информацию или функциональные возможности. Версии 2.64.1, 2.63.6, 2.62.8, 2.61.4, 2.60.4, 2.59.5 и 2.58.7 содержат исправление. Известных обходных путей нет.
CVE-2025-27507Программное обеспечение открытой идентификационной инфраструктуры Zitadel позволяет администраторам отключать саморегистрацию пользователей. API администратора ZITADEL содержит уязвимости небезопасных прямых ссылок на объекты (IDOR), позволяющие аутентифицированным пользователям без конкретных ролей IAM изменять конфиденциальные настройки. Хотя несколько конечных точек затронуты, наиболее критическая уязвимость заключается в способности манипулировать конфигурациями LDAP. Клиенты, которые не используют LDAP для аутентификации, не подвергаются риску самых серьезных аспектов этой уязвимости. Тем не менее, настоятельно рекомендуется обновление до исправленной версии для устранения всех выявленных проблем. Эта уязвимость исправлена в версиях 2.71.0, 2.70.1, 2.69.4, 2.68.4, 2.67.8, 2.66.11, 2.65.6, 2.64.5 и 2.63.8.
CVE-2025-64101Zitadel - это программное обеспечение для инфраструктуры идентификации с открытым исходным кодом. До 4.6.0, 3.4.3 и 2.71.18 в механизме сброса паролей ZITADEL существует потенциальная уязвимость. ZITADEL использует заголовок Forwarded или X-Forwarded-Host из входящих запросов для построения URL-адреса для ссылки подтверждения сброса пароля. Эта ссылка, содержащая секретный код, затем отправляется по электронной почте пользователю. Если злоумышленник может манипулировать этими заголовками (например, с помощью инъекции заголовка хоста), они могут заставить ZITADEL создать ссылку сброса пароля, указывающую на вредоносный домен, контролируемый злоумышленником. Если пользователь нажимает на эту манипулированную ссылку в электронном письме, секретный код сброса, встроенный в URL-адрес, может быть захвачен злоумышленником. Этот захваченный код может быть использован для сброса пароля пользователя и получения несанкционированного доступа к его учетной записи. Важно отметить, что этот конкретный вектор атаки смягчается для учетных записей, которые имеют многофакторную аутентификацию (MFA) или аутентификацию без пароля. Эта уязвимость фиксируется в пунктах 4.6.0, 3.4.3 и 2.71.18.
CVE-2025-48936Zitadel - это программное обеспечение с открытым исходным кодом для инфраструктуры идентификации. До версий 2.70.12, 2.71.10 и 3.2.2 существует потенциальная уязвимость в механизме сброса пароля. ZITADEL использует заголовок Forwarded или X-Forwarded-Host из входящих запросов для построения URL-адреса ссылки на подтверждение сброса пароля. Эта ссылка, содержащая секретный код, затем отправляется пользователю по электронной почте. Если злоумышленник может манипулировать этими заголовками (например, через инъекцию заголовка хоста), он может заставить ZITADEL сгенерировать ссылку на сброс пароля, указывающую на вредоносный домен, контролируемый злоумышленником. Если пользователь кликнет на эту манипулированную ссылку в письме, секретный код сброса, встроенный в URL, может быть захвачен злоумышленником. Этот захваченный код затем может быть использован для сброса пароля пользователя и получения несанкционированного доступа к его учетной записи. Этот конкретный вектор атаки смягчается для учетных записей, у которых включена многофакторная аутентификация (MFA) или безпарольная аутентификация [1].
Источники:
- [1] https://github.com/zitadel/zitadel/security/advisories/GHSA-93m4-mfpg-c3xf
- [2] https://github.com/zitadel/zitadel/commit/c097887bc5f680e12c998580fb56d98a15758f53
CVE-2023-49097ZITADEL — это система инфраструктуры идентификации. ZITADEL использует запросы, инициирующие уведомления, заголовок Forwarded или X-Forwarded-Host для создания ссылки кнопки, отправляемой в электронных письмах для подтверждения сброса пароля с помощью кода, отправленного по электронной почте. Если этот заголовок перезаписан, и пользователь нажимает ссылку на вредоносный сайт в электронном письме, секретный код можно получить и использовать для сброса пароля пользователей и захвата его учетной записи. Учетные записи с включенными MFA или Passwordless не могут быть захвачены этой атакой. Эта проблема была исправлена в версиях 2.41.6, 2.40.10 и 2.39.9.
CVE-2022-36051ZITADEL сочетает в себе простоту Auth0 и универсальность Keycloak. **Actions**, представленные в ZITADEL **1.42.0** в API и **1.56.0** для консоли, — это функция, позволяющая пользователям с ролью `ORG_OWNER` создавать код Javascript, который вызывается системой в определенные моменты во время входа в систему. **Actions**, например, позволяют программно создавать авторизации (предоставления пользователей) для вновь созданных пользователей. Из-за отсутствующей проверки авторизации **Actions** могли предоставлять авторизации для проектов, принадлежащих другим организациям в том же экземпляре. Предоставление авторизаций через API и консоль не затрагивается этой уязвимостью. В настоящее время нет известных обходных решений, пользователям следует выполнить обновление.
CVE-2025-64431Zitadel - это платформа для управления идентификацией с открытым исходным кодом. Версии 4.0.0-rc.1 - 4.6.2 уязвимы для безопасных атак Direct Object Reference (IDOR) через свой API V2Beta, что позволяет аутентифицированным пользователям с определенными ролями администратора в одной организации получать доступ и изменять данные, принадлежащие другим организациям. Обратите внимание, что эта уязвимость ограничена данными на уровне организации (имя, домены, метаданные). Никакие другие связанные данные (например, пользователи, проекты, приложения и т.д.) не затрагиваются. Эта проблема исправлена в версии 4.6.3.
CVE-2025-64103Начиная с 2.53.6, 2.54.3 и 2.55.0, Zitadel требовала только многофакторной аутентификации в случае, если политика входа в систему либо позволила потребовать MFA, либо потребовать MFAForLocalUsers. Если пользователь создал MFA без этого требования, Zitadel будет считать однофакторные сеансы действительными и не требуют нескольких факторов. Обход факторов второй аутентификации ослабляет многофакторную аутентификацию и позволяет злоумышленникам обходить более безопасный фактор. Злоумышленник может нацелиться только на код TOTP, только шесть цифр, полностью минуя проверку пароля и потенциально компрометируя учетные записи с включенными 2FA. Эта уязвимость зафиксирована в 4.6.0, 3.4.3 и 2.71.18.
CVE-2025-31123Zitadel - это программное обеспечение с открытым исходным кодом для инфраструктуры идентификации. Существовала уязвимость, при которой истекшие ключи могут использоваться для получения токенов. В частности, ZITADEL не проверяет должным образом дату истечения срока действия ключа JWT при использовании для предоставления авторизации. Это позволяет атакующему с истекшим ключом получить действительные токены доступа. Эта уязвимость не затрагивает использование профиля JWT для аутентификации клиентов OAuth 2.0 на конечных точках токенов и интроспекции, которые корректно отклоняют истекшие ключи. Эта уязвимость исправлена в версиях 2.71.6, 2.70.8, 2.69.9, 2.68.9, 2.67.13, 2.66.16, 2.65.7, 2.64.6 и 2.63.9.
CVE-2024-29891Пользователи ZITADEL могут загружать свои собственные аватарки, и разрешены различные типы изображений. Из-за отсутствия проверки злоумышленник может загрузить HTML и выдать его за изображение, чтобы получить доступ к учетной записи жертвы в определенных сценариях. Потенциальной жертве нужно будет напрямую открыть предполагаемое изображение в браузере, где для работы этого эксплойта должен быть активен сеанс в ZITADEL. Эксплойт можно было воспроизвести только в том случае, если жертва использовала Firefox. Chrome, Safari и Edge не выполняли код. Эта уязвимость устранена в версиях 2.48.3, 2.47.8, 2.46.5, 2.45.5, 2.44.7, 2.43.11 и 2.42.17.
CVE-2025-67494ZITADEL - это инструмент инфраструктуры идентификации с открытым исходным кодом. Версификации 4.7.0 и ниже уязвимы для неаутентифицированной, полностью читаемой уязвимости SSRF. ZITADEL Login UI (V2) рассматривает заголовок X-zitadel-forward-host как надежный запасной вариант для всех развертываний, включая самостоятельный инстанций. Это позволяет неаутентифицированному злоумышленнику заставить сервер делать HTTP-запросы на произвольные домены, такие как внутренние адреса, и считывать ответы, что позволяет эксфильтровать данные и обходить элементы управления сегментации сети. Эта проблема исправлена в версии 4.7.1.
CVE-2026-29193ZITADEL - это платформа для управления идентификацией с открытым исходным кодом. От версии 4.0.0 до 4.12.0 уязвимость во входе Zitadel в пользовательский интерфейс V2 позволила пользователям обходить правила поведения и безопасности входа в систему и самостоятельно регистрировать новые учетные записи или входить в систему с помощью пароля, даже если соответствующие опции были отключены в их организации. Этот вопрос был исправлен в версии 4.12.1.
CVE-2026-27946ZITADEL - это платформа для управления идентификацией с открытым исходным кодом. До версий 4.11.1 и 3.4.7 уязвимость в возможности самоконтроля Zitadel позволяла пользователям помечать свою электронную почту и телефон как проверенные, не проходя через фактический процесс проверки. Патч в версиях 4.11.1 и 3.4.7 решает проблему, требуя правильного разрешения в случае предоставления флага проверки и позволяет только самостоятельно управлять адресом электронной почты и/или самим номером телефона. Если обновление невозможно, может быть использовано действие (v2) для предотвращения установки флага проверки на собственного пользователя.
CVE-2024-32868ZITADEL предоставляет пользователям возможность использовать одноразовый пароль на основе времени (TOTP) и одноразовый пароль (OTP) через SMS и электронную почту. Хотя ZITADEL уже предоставляет администраторам возможность определять «Политику блокировки» с максимальным количеством неудачных попыток проверки пароля, такого механизма для проверок (T)OTP не было. Эта проблема была исправлена в версии 2.50.0.
CVE-2025-46815В ZITADEL, программном обеспечении для управления идентификацией, обнаружена уязвимость, позволяющая злоумышленнику повторно использовать токены idp intent [1].
Эта уязвимость затрагивает версии до 3.0.0, 2.71.9 и 2.70.10. Злоумышленник с доступом к URI приложения может получить id и токен, позволяющие ему аутентифицироваться от имени пользователя. Использование дополнительных факторов (MFA) предотвращает полную аутентификацию. Рекомендуется обновить ZITADEL до исправленной версии.
Источники:
- [1] https://github.com/zitadel/zitadel/security/advisories/GHSA-g4r8-mp7g-85fq
- [2] https://github.com/zitadel/zitadel/commit/b1e60e7398d677f08b06fd7715227f70b7ca1162
- [3] https://github.com/zitadel/zitadel/releases/tag/v2.70.10
- [4] https://github.com/zitadel/zitadel/releases/tag/v2.71.9
- [5] https://github.com/zitadel/zitadel/releases/tag/v3.0.0
CVE-2026-32131ZITADEL - это платформа для управления идентификацией с открытым исходным кодом. До 3.4.8 и 4.12.2 сообщалось об уязвимости в API управления Zitadel, что позволило аутентифицированным пользователям, имеющим действительный токен с низкой привилегией (например, project.read, project.grant.read или project.app.read) извлекать информацию о управленческой плане, принадлежащей другим организациям, путем указания другого арендатора project_id, grant_id или app_id. Эта уязвимость зафиксирована в пунктах 3.4.8 и 4.12.2.
CVE-2026-29192ZITADEL - это платформа для управления идентификацией с открытым исходным кодом. От версии 4.0.0 до 4.11.1 была обнаружена уязвимость в интерфейсе Zitadel V2 для входа в систему, что позволило получить возможный захват учетной записи через Default URI Redirect. Этот вопрос был исправлен в версии 4.12.0.
CVE-2025-64102Zitadel - это программное обеспечение для инфраструктуры идентификации с открытым исходным кодом. До 4.6.0, 3.4.3 и 2.71.18 злоумышленник может выполнить онлайн-атаку грубой силы на OTP, TOTP и пароли. В то время как Zitadel позволяет предотвратить атаки грубой силы в таких сценариях, как TOTP, Email OTP или пароли, используя механизм блокировки. Механизм не включен по умолчанию и может вызвать отказ в обслуживании для соответствующего пользователя, если он включен. Кроме того, стратегии смягчения последствий не были полностью реализованы в более поздних API-интерфейсах, основанных на ресурсах. Эта уязвимость фиксируется в пунктах 4.6.0, 3.4.3 и 2.71.18.
CVE-2025-53895ZITADEL - это открытая система управления идентификацией. Уязвимость в API управления сессиями ZITADEL позволяет любому аутентифицированному пользователю обновить сессию, если он знает ее ID, из-за отсутствия проверки разрешений. Это позволяет злоумышленнику захватить сессию другого пользователя и получить доступ к конфиденциальным ресурсам. Источники:
- [1] https://github.com/zitadel/zitadel/security/advisories/GHSA-6c5p-6www-pcmr
- [2] https://github.com/zitadel/zitadel/releases/tag/v2.70.14
- [3] https://github.com/zitadel/zitadel/releases/tag/v2.71.13
- [4] https://github.com/zitadel/zitadel/releases/tag/v3.3.2
- [5] https://github.com/zitadel/zitadel/releases/tag/v4.0.0-rc.2
CVE-2026-44671ZITADEL - это платформа для управления идентификацией с открытым исходным кодом. С 2.71.11 до 3.4.10 и 4.15.0 в реализации LDAP поставщика идентификации Zitadel была обнаружена уязвимость, которая не может должным образом избежать имен пользователей, прежде чем включать их в поисковые фильтры LDAP. Это позволяет неаутентифицированным злоумышленникам выполнять инъекции фильтра LDAP во время процесса входа в систему. Хотя эта уязвимость не позволяет полностью аутентифицироваться, злоумышленник может использовать метахарактеры LDAP (такие как *, (, ))) для выполнения слепой инъекции LDAP. Наблюдая за различными ответами сбоев (или успеха), злоумышленник может систематически перечислять действительные имена пользователей и извлекать данные конфиденциального атрибута из подключенного каталога LDAP. Эта уязвимость исправлена в 3.4.10 и 4.15.0.
CVE-2026-32130ZITADEL - это платформа для управления идентификацией с открытым исходным кодом. С 2.68.0 до 3.4.8 и 4.12.2 Zitadel предоставляет систему для междоменного управления идентификацией (SCIM) API для предоставления пользователям от внешних поставщиков в Zitadel. Запрос на API с кодированными URL-кодами значений пути был правильно маршрутизирован, но обходит необходимые проверки аутентификации и разрешения. Это позволило неаутентифицированным злоумышленникам получать конфиденциальную информацию, такую как имена, адреса электронной почты, номера телефонов, адреса, внешние идентификаторы и роли. Обратите внимание, что из-за дополнительных проверок при манипулировании данными злоумышленник не мог изменять или удалять какие-либо пользовательские данные. Эта уязвимость зафиксирована в пунктах 3.4.8 и 4.12.2.
CVE-2024-47000Zitadel - это платформа управления идентификацией с открытым исходным кодом. Механизм деактивации учетной записи пользователя ZITADEL некорректно работал с учетными записями служб. Деактивированные учетные записи служб сохраняли возможность запрашивать токены, что могло привести к несанкционированному доступу к приложениям и ресурсам. Выпущены версии 2.62.1, 2.61.1, 2.60.2, 2.59.3, 2.58.5, 2.57.5, 2.56.6, 2.55.8 и 2.54.10, в которых устранена эта проблема. Пользователям рекомендуется выполнить обновление. Пользователи, не имеющие возможности выполнить обновление, вместо деактивации учетной записи службы могут создать новые учетные данные и заменить старые везде, где они используются. Это эффективно предотвращает использование деактивированной учетной записи службы. Обязательно отзовите все существующие ключи аутентификации, связанные с учетной записью службы, и смените пароль учетной записи службы.
CVE-2024-28197Zitadel — это система управления идентификацией с открытым исходным кодом. Zitadel использует файл cookie для идентификации пользовательского агента (браузера) и его пользовательских сеансов. Хотя файл cookie обрабатывался в соответствии с передовыми практиками, он был доступен в поддоменах экземпляра ZITADEL. Злоумышленник мог воспользоваться этим и предоставить вредоносную ссылку, размещенную в поддомене, пользователю, чтобы получить доступ к учетной записи жертвы в определенных сценариях. Возможной жертве необходимо было бы войти в систему по вредоносной ссылке, чтобы этот эксплойт сработал. Если бы у возможной жертвы уже был файл cookie, атака не удалась бы. Атака также была бы возможна только в том случае, если бы в поддомене существовала начальная уязвимость. Это могло быть либо то, что злоумышленник мог контролировать DNS, либо уязвимость XSS в приложении, размещенном в поддомене. Версии 2.46.0, 2.45.1 и 2.44.3 были исправлены. Zitadel рекомендует обновиться до последних доступных версий в надлежащее время. Обратите внимание, что применение исправления сделает текущий файл cookie недействительным, и поэтому пользователям потребуется начать новый сеанс, а существующие сеансы (выбор пользователя) будут пустыми. Для сред с самостоятельным хостингом, не имеющих возможности обновиться до исправленной версии, предотвратите установку следующего имени файла cookie в поддоменах вашего экземпляра Zitadel (например, в вашем WAF): `__Secure-zitadel-useragent`.