ZITADEL — это система инфраструктуры идентификации. ZITADEL использует запросы, инициирующие уведомления, заголовок Forwarded или X-Forward…
ZITADEL — это система инфраструктуры идентификации. ZITADEL использует запросы, инициирующие уведомления, заголовок Forwarded или X-Forwarded-Host для создания ссылки кнопки, отправляемой в электронных письмах для подтверждения сброса пароля с помощью кода, отправленного по электронной почте. Если этот заголовок перезаписан, и пользователь нажимает ссылку на вредоносный сайт в электронном письме, секретный код можно получить и использовать для сброса пароля пользователей и захвата его учетной записи. Учетные записи с включенными MFA или Passwordless не могут быть захвачены этой атакой. Эта проблема была исправлена в версиях 2.41.6, 2.40.10 и 2.39.9.
Продукт содержит механизм, позволяющий пользователям восстанавливать или изменять пароли без знания исходного пароля, однако этот механизм является слабым.
https://cwe.mitre.org/data/definitions/640.html →Открыть в коллекции CWE →Злоумышленник использует функцию приложения, предназначенную для помощи пользователям в восстановлении забытых паролей, с целью получения доступа к системе с теми же привилегиями, что и у исходного пользователя. Как правило, механизмы восстановления паролей отличаются слабостью и ненадёжностью.
https://capec.mitre.org/data/definitions/50.html →Открыть в коллекции CAPEC →