Zitadel · Zitadel · CVE-2024-41953
**Nome do software vulnerável e versões afetadas**
Versões do Zitadel anteriores à 2.52.3
Versões do Zitadel anteriores à 2.53.9
Versões do Zitadel anteriores à 2.54.8
Versões do Zitadel anteriores à 2.55.5
Versões do Zitadel anteriores à 2.56.2
Versões do Zitadel anteriores à 2.57.1
Versões do Zitadel anteriores à 2.58.1
**Descrição**
O Zitadel é um sistema de gerenciamento de identidade de código aberto que utiliza HTML para e-mails e renderiza dinamicamente determinadas informações, como nomes de usuário. Devido à falta de sanitização de saída, esses e-mails poderiam incluir código malicioso. Isso pode potencialmente levar a uma ameaça em que um invasor, sem privilégios, poderia enviar notificações alteradas que fazem parte dos processos de registro. Um invasor poderia criar um link malicioso, no qual o código injetado seria renderizado como parte do e-mail. Na página de detalhes do usuário, o nome de usuário também não era sanitizado e renderizava HTML, proporcionando ao invasor a mesma vulnerabilidade. Embora fosse possível injetar HTML incluindo JavaScript, a execução desses scripts seria impedida pela maioria dos clientes de e-mail e pela Política de Segurança de Conteúdo (CSP) na interface do Console.
**Recomendações**
Para versões anteriores à 2.52.3, atualize para a versão 2.52.3 ou posterior.
Para versões anteriores à 2.53.9, atualize para a versão 2.53.9 ou posterior.
Para versões anteriores à 2.54.8, atualize para a versão 2.54.8 ou posterior.
Para versões anteriores à 2.55.5, atualize para a versão 2.55.5 ou posterior.
Para versões anteriores à 2.56.2, atualize para a versão 2.56.2 ou posterior.
Para versões anteriores à 2.57.1, atualize para a versão