Amit-Laish

**Nome do Software Vulnerável e Versões Afetadas** Versões do ZITADEL de 4.0.0 a 4.11.1 **Descrição** O ZITADEL, uma plataforma de gerenciamento de identidade de código aberto, contém uma vulnerabilidade de cross-site scripting (XSS) em sua interface de login V2, especificamente dentro do endpoint `/saml-post`. Esta falha permite a possível tomada de conta ao possibilitar a execução de código JavaScript malicioso no navegador da vítima. O problema origina-se de um redirecionamento inseguro utilizando o parâmetro `url` e da reflexão de entrada fornecida pelo usuário sem a codificação HTML adequada. Um atacante não autenticado pode explorar isso criando um link malicioso, potencialmente redefinindo senhas e obtendo controle de contas. A vulnerabilidade não requer integração SAML para ser explorada e pode afetar o Zitadel em sua configuração padrão. O endpoint `/saml-post` aceita os parâmetros `url` e `id`. **Recomendações** Atualize para o ZITADEL versão 4.12.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do ZITADEL de 4.0.0 a 4.12.0 **Descrição** O ZITADEL, uma plataforma de gerenciamento de identidade de código aberto, apresentava uma falha em sua interface de login V2. Isso permitia que usuários contornassem o comportamento de login e as políticas de segurança, possibilitando o autorregistro de novas contas ou o login com senhas mesmo quando essas opções estavam desabilitadas pelos administradores da organização. Um atacante poderia enviar solicitações HTTP diretas para a interface de login para criar contas em organizações onde o autorregistro estava desabilitado e obter acesso não autorizado. O mesmo vetor de ataque poderia ser usado para autenticar com um nome de usuário e senha mesmo quando este método de login estava desabilitado. **Recomendações** Atualize para a versão 4.12.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do ZITADEL de 4.0.0-rc.1 a 4.7.0 **Descrição** O ZITADEL, uma ferramenta de infraestrutura de identidade de código aberto, está suscetível a uma vulnerabilidade de Cross-Site Scripting (XSS) baseado em DOM através do endpoint de logout do Zitadel V2. O endpoint da API `/logout` redireciona de forma insegura para um valor fornecido no parâmetro GET `post logout redirect`. Isso permite que um atacante remoto não autenticado execute código JavaScript malicioso nos navegadores dos usuários do ZITADEL. Esta vulnerabilidade requer múltiplas sessões de usuário ativas no mesmo navegador para ser explorada. O sequestro de conta é mitigado quando a Autenticação de Múltiplos Fatores (MFA) ou a autenticação sem senha estão habilitadas. **Recomendações** Versões anteriores a 4.7.1 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do ZITADEL 4.7.0 e anteriores **Descrição** O ZITADEL é uma ferramenta de infraestrutura de identidade de código aberto suscetível a uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) não autenticada e de leitura completa. A Interface de Login do ZITADEL (V2) confia incorretamente no cabeçalho `x-zitadel-forward-host`, permitindo que um atacante não autenticado force o servidor a realizar solicitações HTTP para domínios arbitrários. Isso pode resultar em exfiltração de dados e contorno de controles de segmentação de rede. A vulnerabilidade permite o pivô de rede, possibilitando que atacantes mapeiem a infraestrutura interna. **Recomendações** Atualize para a versão 4.7.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** ZITADEL versões 4.0.0-rc.1 a 4.7.0 **Descrição** O ZITADEL é uma plataforma de gerenciamento de identidade de código aberto. Existe um problema potencial no mecanismo de redefinição de senha do ZITADEL no login V2. A plataforma utiliza o cabeçalho Forwarded ou X-Forwarded-Host das requisições recebidas para construir a URL do link de confirmação de redefinição de senha, que inclui um código secreto e é enviado ao usuário por e-mail. **Recomendações** Atualize para a versão 4.7.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Zitadel anteriores a 2.70.12 Versões do Zitadel anteriores a 2.71.10 Versões do Zitadel anteriores a 3.2.2 **Descrição** O Zitadel é um software de infraestrutura de identidade de código aberto. Existe um problema potencial no mecanismo de redefinição de senha, no qual o Zitadel utiliza o cabeçalho `Forwarded` ou `X-Forwarded-Host` das solicitações recebidas para construir a URL do link de confirmação de redefinição de senha. Este link, contendo um código secreto, é então enviado por e-mail ao usuário. Se um atacante conseguir manipular esses cabeçalhos, poderá fazer com que o Zitadel gere um link de redefinição de senha apontando para um domínio malicioso controlado pelo atacante. Se o usuário clicar neste link manipulado no e-mail, o código secreto de redefinição incorporado na URL poderá ser capturado pelo atacante. Este código capturado poderá então ser usado para redefinir a senha do usuário e obter acesso não autorizado à sua conta. Este vetor de ataque específico é mitigado para contas que têm a Autenticação de Múltiplos Fatores (MFA) ou a autenticação sem senha habilitada. **Recomendações** Para versões anteriores a 2.70.12, atualize para a versão 2.70.12 ou posterior. Para versões anteriores a 2.71.10, atualize para a versão 2.71.10 ou posterior. Para versões anteriores a 3.2.2, atualize para a versão 3.2.2 ou posterior. Como solução alternativa temporária, considere habilitar a Autenticação de Múltiplos Fatores (MFA) ou a autenticação sem senha para mitigar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Zitadel anteriores a 2.71.0 Versões do Zitadel anteriores a 2.70.1 Versões do Zitadel anteriores a 2.69.4 Versões do Zitadel anteriores a 2.68.4 Versões do Zitadel anteriores a 2.67.8 Versões do Zitadel anteriores a 2.66.11 Versões do Zitadel anteriores a 2.65.6 Versões do Zitadel anteriores a 2.64.5 Versões do Zitadel anteriores a 2.63.8 **Descrição** A API de Administração do software de infraestrutura de identidade de código aberto Zitadel contém vulnerabilidades de Referência Direta a Objetos Inseguros (IDOR), permitindo que usuários autenticados sem funções IAM específicas modifiquem configurações sensíveis. A vulnerabilidade mais crítica reside na capacidade de manipular configurações LDAP. Clientes que não utilizam LDAP para autenticação não estão em risco pelos aspectos mais graves desta vulnerabilidade. No entanto, a atualização para a versão corrigida é fortemente recomendada para abordar todos os problemas identificados. Vários endpoints são afetados, incluindo `/idps/ldap` e `/idps/ldap/{id}`, o que poderia permitir que usuários não autorizados modifiquem as configurações LDAP da instância do ZITADEL ou exponham a senha do servidor LDAP original. Outros endpoints afetados incluem `/idps/templates/ search`, `/idps/templates/{id}`, `/policies/label/ activate`, `/policies/label/logo`, `/policies/label/logo dark`, `/policies/label/icon`, `/policies/label/icon dark`, `/policies/label/font`, `/text/message/passwordless registration/{language}` e `/text/login/{language}`, permitindo potencialmente a modificação não autorizada das configurações da instância. O impacto desta vulnerabilidade varia dependendo se uma instância do ZITADEL utiliza LDAP para autenticação, onde uma exploração bem-sucedida pode potencialmente levar ao comprometimento total de contas de usuário e exposição da senha do servidor LDAP para usuários LDAP, e à modificação não autorizada das configurações da instância para usuários não LDAP. Mais de 2,8 mil serviços foram encontrados como potencialmente afetados. **Recomendações** Para resolver o problema, atualize para a versão corrigida 2.71.0 ou posterior para versões 2.x. Para resolver o problema, atualize para a versão corrigida 2.70.1 ou posterior para versões 2.70.x. Para resolver o problema, atualize para a versão corrigida 2.69.4 ou posterior para versões 2.69.x. Para resolver o problema, atualize para a versão corrigida 2.68.4 ou posterior para versões 2.68.x. Para resolver o problema, atualize para a versão corrigida 2.67.8 ou posterior para versões 2.67.x. Para resolver o problema, atualize para a versão corrigida 2.66.11 ou posterior para versões 2.66.x. Para resolver o problema, atualize para a versão corrigida 2.65.6 ou posterior para versões 2.65.x. Para resolver o problema, atualize para a versão corrigida 2.64.5 ou posterior para versões 2.64.x. Para resolver o problema, atualize para a versão corrigida 2.63.8 ou posterior para versões 2.63.x. Como solução alternativa temporária, considere restringir o acesso aos endpoints vulneráveis, como `/idps/ldap` e `/idps/ldap/{id}`, para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do ZITADEL anteriores à 2.50.0 **Descrição** O ZITADEL oferece aos usuários a possibilidade de utilizar senhas de uso único baseadas em tempo (TOTP) e senhas de uso único (OTP) por SMS e e-mail. Embora o ZITADEL já ofereça aos administradores a opção de definir uma `Política de Bloqueio` com um número máximo de tentativas de verificação de senha malsucedidas, não havia tal mecanismo para verificações (T)OTP. **Recomendações** Para versões anteriores à 2.50.0, atualize para a versão 2.50.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às verificações (T)OTP até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do ZITADEL anteriores à 2.42.17 Versões do ZITADEL da 2.42.17 à 2.48.3 **Descrição** Os usuários do ZITADEL podem fazer upload de sua própria imagem de avatar, sendo permitidos vários tipos de imagem. Devido a uma falha na verificação, um invasor poderia fazer upload de HTML e fingir que se trata de uma imagem para obter acesso à conta da vítima em determinados cenários. Uma possível vítima precisaria abrir diretamente a suposta imagem no navegador, sendo necessário que uma sessão no ZITADEL estivesse ativa para que essa exploração funcionasse. A exploração só poderia ser reproduzida se a vítima estivesse usando o Firefox. O Chrome, o Safari e o Edge não executaram o código. **Recomendações** Para versões anteriores à 2.42.17, atualize para a versão 2.42.17 ou posterior. Para as versões 2.42.17 a 2.43.10, atualize para a versão 2.43.11 ou posterior. Para as versões 2.43.11 a 2.44.6, atualize para a versão 2.44.7 ou posterior. Para as versões 2.44.7 a 2.45.4, atualize para a versão 2.45.5 ou posterior. Para as versões 2.45.5 a 2.46.4, atualize para a versão 2.46.5 ou posterior. Para as versões 2.46.5 a 2.47.7, atualize para a versão 2.47.8 ou posterior. Para as versões 2.47.8 a 2.48.2, atualize para a versão 2.48.3 ou posterior. Como solução temporária, considere restringir o acesso ao recurso de upload de avatares até que uma correção seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Zitadel anteriores à 2.44.3 Versões do Zitadel da 2.45.0 à 2.45.0, excluindo a 2.45.1 Versões do Zitadel anteriores à 2.46.0 **Descrição** O Zitadel é um sistema de gerenciamento de identidade de código aberto que utiliza um cookie para identificar o agente do usuário e suas sessões. Embora o cookie fosse tratado de acordo com as melhores práticas, ele estava acessível em subdomínios da instância do ZITADEL. Um invasor poderia se aproveitar disso e fornecer ao usuário um link malicioso hospedado no subdomínio para obter acesso à conta da vítima em determinados cenários. Para que essa exploração funcionasse, a vítima em potencial precisaria fazer login por meio do link malicioso. Se a vítima em potencial já tivesse o cookie presente, o ataque não teria sucesso. Além disso, o ataque só seria possível se houvesse uma vulnerabilidade inicial no subdomínio, como o invasor ser capaz de controlar o DNS ou uma vulnerabilidade XSS em um aplicativo hospedado no subdomínio. **Recomendações** Para versões anteriores à 2.44.3, atualize para a versão 2.44.3 ou posterior. Para versões 2.45.0 a 2.45.0, anteriores à 2.45.1, atualize para a versão 2.45.1 ou posterior. Para versões anteriores à 2.46.0, atualize para a versão 2.46.0 ou posterior. Para ambientes auto-hospedados que não possam ser atualizados para uma versão corrigida, evite definir o seguinte nome de cookie nos subdomínios da sua instância do Zitadel (por exemplo, dentro do seu WAF): ` Secure-zitadel-useragent`.

**Nome do software vulnerável e versões afetadas** Versões do DataHub anteriores à 0.12.1 **Descrição** O DataHub é uma plataforma de metadados de código aberto. Nas versões afetadas, um usuário com privilégios limitados poderia remover um usuário, editar membros de um grupo ou editar as informações do perfil de outro usuário devido a privilégios padrão excessivamente amplos. Esse problema pode resultar na escalada de privilégios para usuários com privilégios limitados, chegando a privilégios de administrador, caso exista um grupo com privilégios de administrador. O problema pode não afetar instâncias que tenham modificado os privilégios padrão. **Recomendações** Para versões anteriores à 0.12.1, atualize para a versão 0.12.1 para resolver o problema. Como solução alternativa temporária, considere modificar os privilégios padrão para restringir as permissões de usuários com privilégios limitados até que a atualização possa ser aplicada. Restrinja o acesso aos recursos de gerenciamento de usuários e edição de membros de grupo para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** ZITADEL versions prior to 2.39.9 ZITADEL versions prior to 2.40.10 ZITADEL versions prior to 2.41.6 **Description** ZITADEL is an identity infrastructure system that uses the `Forwarded` or `X-Forwarded-Host` header to build the button link sent in emails for confirming a password reset with the emailed code. If this header is overwritten and a user clicks the link to a malicious site in the email, the secret code can be retrieved and used to reset the user's password and take over their account. Accounts with MFA or Passwordless enabled cannot be taken over by this attack. **Recommendations** For versions prior to 2.39.9, update to version 2.39.9 or later. For versions prior to 2.40.10, update to version 2.40.10 or later. For versions prior to 2.41.6, update to version 2.41.6 or later. As a temporary workaround, consider configuring a ZITADEL fronting proxy to delete all `Forwarded` and `X-Forwarded-Host` header values before sending requests to ZITADEL self-hosted environments.

**Name of the Vulnerable Software and Affected Versions** DataHub versions prior to 0.11.1 **Description** The issue concerns the use of a SHA-1 HMAC with a short key length for signing session tokens in DataHub Frontend, making it vulnerable to brute force attacks by sufficiently resourced actors. An authenticated attacker could exploit this to obtain escalated privileges by generating a privileged session cookie. The vulnerability is exacerbated by the default settings of the Play LegacyCookiesModule and the shorter than recommended key length for the signing key. **Recommendations** For versions prior to 0.11.1, update to the latest helm chart and rotate the session signing secret to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** DataHub versions prior to 0.12.1 **Description** The issue concerns an open-source metadata platform where sign-up through an invite link does not properly restrict users from signing up as privileged accounts. If a user is given an email sign-up link, they can potentially create an admin account under certain preconditions. Specifically, if the default datahub user has been removed but the default policies applying to that user remain, a user can sign up for an account that leverages these policies to gain admin privileges. There are no known workarounds for this issue. **Recommendations** Update to version 0.12.1 to address the issue.

**Name of the Vulnerable Software and Affected Versions** Argo CD versions 2.4 through 2.6.14 Argo CD versions 2.7 through 2.7.13 Argo CD versions 2.8 through 2.8.2 **Description** The Argo CD repo-server component is vulnerable to a Denial-of-Service attack vector. This vulnerability occurs because the component extracts a user-controlled tar.gz file without validating the size of its inner files. As a result, a malicious, low-privileged user can send a malicious tar.gz file that exploits this vulnerability to the repo-server, thereby harming the system's functionality and availability. Additionally, the repo-server is susceptible to another vulnerability due to the fact that it does not check the extracted file permissions before attempting to delete them. Consequently, an attacker can craft a malicious tar.gz archive in a way that prevents the deletion of its inner files when the manifest generation process is completed. **Recommendations** For versions 2.4 through 2.6.14, upgrade to version 2.6.15 or later. For versions 2.7 through 2.7.13, upgrade to version 2.7.14 or later. For versions 2.8 through 2.8.2, upgrade to version 2.8.3 or later. If upgrade is not possible, configure RBAC (Role-Based Access Control) and provide access for configuring applications only to a limited number of administrators. These administrators should utilize trusted and verified Helm charts.

**Name of the Vulnerable Software and Affected Versions** SpiceDB versions prior to 1.19.1 **Description** The issue is related to the SpiceDB database system, specifically with the `/debug/pprof/cmdline` endpoint served by the metrics service, which reveals command-line flags provided for debugging purposes. If a password is set via the `--grpc-preshared-key` flag, the key is revealed by this endpoint along with any other flags provided to the SpiceDB binary. This can allow an attacker to gain unauthorized access to sensitive information. Users configuring SpiceDB via environment variables or following recommended best practices for production usage are not affected. However, users who expose their metrics port to an untrusted network and configure `--grpc-preshared-key` via command-line flag may be affected. **Recommendations** To resolve the issue, consider the following: - Configure the preshared key via an environment variable (e.g., `SPICEDB GRPC PRESHARED KEY=yoursecret spicedb serve`). - Reconfigure the `--metrics-addr` flag to bind to a trusted network (e.g., `--metrics-addr=localhost:9090`). - Disable the metrics service via the flag (e.g., `--metrics-enabled=false`). - Adopt one of the recommended deployment models: Authzed's managed services or the SpiceDB Operator.