Livio-A

Nome do Software Vulnerável e Versões Afetadas ZITADEL versões anteriores a 3.4.7 ZITADEL versões anteriores a 4.11.1 Descrição O ZITADEL, uma plataforma de gerenciamento de identidade de código aberto, possuía uma falha em seu recurso de autogerenciamento. Isso permitia que os usuários marcassem falsamente seus e-mails e telefones como verificados sem concluir o processo de verificação. O problema foi resolvido ao aplicar verificações adequadas de permissões ao definir a flag de verificação e restringir o autogerenciamento ao próprio endereço de e-mail e/ou número de telefone. Recomendações Atualize para a versão 3.4.7 do ZITADEL ou posterior. Atualize para a versão 4.11.1 do ZITADEL ou posterior. Se não for possível atualizar, utilize uma ação (v2) para impedir a definição da flag de verificação nas contas de usuário.

**Nome do Software Vulnerável e Versões Afetadas** Versões do ZITADEL anteriores à 4.0.0-rc.2 Versões do ZITADEL anteriores à 3.3.2 Versões do ZITADEL anteriores à 2.71.13 Versões do ZITADEL anteriores à 2.70.14 Versões do ZITADEL de 2.53.0 a 3.3.1 **Descrição** A API de gerenciamento de sessão do ZITADEL possui uma falha na qual um usuário autenticado pode atualizar uma sessão conhecendo apenas o seu ID, devido à ausência de uma verificação de permissão. Isso permite o sequestro de sessão, possibilitando que um atacante se passe por outro usuário e acesse recursos sensíveis. **Recomendações** Atualize o ZITADEL para a versão 4.0.0-rc.2 ou posterior. Atualize o ZITADEL para a versão 3.3.2 ou posterior. Atualize o ZITADEL para a versão 2.71.13 ou posterior. Atualize o ZITADEL para a versão 2.70.14 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Zitadel anteriores à 2.54.10 Versões do Zitadel da 2.55.0 à 2.55.7 Versões do Zitadel da 2.56.0 à 2.56.5 Versões do Zitadel da 2.57.0 à 2.57.4 Versões do Zitadel de 2.58.0 a 2.58.4 Versões do Zitadel de 2.59.0 a 2.59.2 Versões do Zitadel de 2.60.0 a 2.60.1 Versões do Zitadel de 2.61.0 a 2.61.0 Versões do Zitadel de 2.62.0 a 2.62.0 **Descrição** O Zitadel é uma plataforma de gerenciamento de identidade de código aberto. O mecanismo de desativação de concessões de usuário não funcionava corretamente, permitindo que concessões de usuário desativadas fossem fornecidas em tokens. Isso poderia levar ao acesso não autorizado a aplicativos e recursos. A API de gerenciamento e autenticação sempre retornava o estado como ativo ou não fornecia nenhuma informação sobre o estado. **Recomendações** Para versões anteriores à 2.54.10, atualize para a versão 2.54.10 ou posterior. Para versões de 2.55.0 a 2.55.7, atualize para a versão 2.55.8 ou posterior. Para versões de 2.56.0 a 2.56.5, atualize para a versão 2.56.6 ou posterior. Para versões de 2.57.0 a 2.57.4, atualize para a versão 2.57.5 ou posterior. Para versões de 2.58.0 a 2.58.4, atualize para a versão 2.58.5 ou posterior. Para versões de 2.59.0 a 2.59.2, atualize para a versão 2.59.3 ou posterior. Para as versões 2.60.0 a 2.60.1, atualize para a versão 2.60.2 ou posterior. Para as versões 2.61.0 a 2.61.0, atualize para a versão 2.61.1 ou posterior. Para as versões 2.62.0 a 2.62.0, atualize

**Nome do software vulnerável e versões afetadas** Versões do Zitadel anteriores à 2.54.10 Versões do Zitadel 2.55.0 a 2.55.7 Versões do Zitadel 2.56.0 a 2.56.5 Versões do Zitadel 2.57.0 a 2.57.4 Versões do Zitadel 2.58.0 a 2.58.4 Versões do Zitadel 2.59.0 a 2.59.2 Versões do Zitadel 2.60.0 a 2.60.1 Versões do Zitadel 2.61.0 a 2.61.0 Versões do Zitadel 2.62.0 a 2.62.0 **Descrição** O mecanismo de desativação de contas de usuário do Zitadel não funcionava corretamente com contas de serviço. As contas de serviço desativadas mantinham a capacidade de solicitar tokens, o que poderia levar ao acesso não autorizado a aplicativos e recursos. **Recomendações** Atualize para a versão 2.54.10 ou posterior. Para versões anteriores à 2.54.10, considere criar novas credenciais e substituir as antigas onde quer que elas sejam utilizadas. Revogue todas as chaves de autenticação existentes associadas à conta de serviço. Altere a senha da conta de serviço. No momento, não há informações sobre outras versões que contenham uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Zitadel anteriores à 2.53.9 Versões do Zitadel anteriores à 2.54.8 Versões do Zitadel anteriores à 2.55.5 Versões do Zitadel anteriores à 2.56.2 Versões do Zitadel anteriores à 2.57.1 Versões do Zitadel anteriores à 2.58.1 **Descrição** O Zitadel é um sistema de gerenciamento de identidades de código aberto. O sistema possui uma configuração chamada “Ignorar nomes de usuário desconhecidos”, que ajuda a mitigar ataques que tentam adivinhar ou enumerar nomes de usuário. Se ativada, o Zitadel exibirá a solicitação de senha mesmo que o usuário não exista e informará “Nome de usuário ou senha inválida”. No entanto, devido a uma alteração na implementação para evitar deadlocks ao acessar o banco de dados, o sinalizador não seria respeitado corretamente em todos os casos, e um invasor obteria informações se uma conta existisse no Zitadel, já que a mensagem de erro exibe “objeto não encontrado” em vez da mensagem de erro genérica. **Recomendações** Atualize para a versão 2.53.9 ou posterior para as versões 2.53.x do Zitadel Atualize para a versão 2.54.8 ou posterior para as versões 2.54.x do Zitadel Atualize para a versão 2.55.5 ou posterior para as versões 2.55.x do Zitadel Atualize para a versão 2.56.2 ou posterior para as versões 2.56.x do Zitadel Atualize para a versão 2.57.1 ou posterior para as versões 2.57.x do Zitadel Atualize para a versão 2.58.1 ou posterior para as versões 2.58.x do Zitadel