Lucasdodgson

**Nome do Software Vulnerável e Versões Afetadas** Versões do ZITADEL 2.31.0 a 3.4.6 Versões do ZITADEL 2.31.0 a 4.10.9 **Descrição** O ZITADEL é uma plataforma de gerenciamento de identidade de código aberto. A partir da versão 2.31.0 e anteriores às versões 3.4.7 e 4.11.0, tokens de acesso OIDC opacos no formato v2 truncados para 80 caracteres são considerados válidos. O ZITADEL usa criptografia AES simétrica para tokens opacos, e a carga útil em texto simples inclui um ID de token e um ID de usuário. Os tokens da Versão 2 identificam o ID do token como `v2 <oidc session id>-at <access token id>`. Quando os tokens são truncados, o `user id` está ausente no texto simples. O back-end ainda aceita esses tokens truncados porque depende dos dados de sessão do banco de dados para identificação do usuário em tokens v2. A correção nas versões 4.11.0 e 3.4.7 resolve o problema verificando o `user id` do token em relação aos dados de sessão no banco de dados. **Recomendações** Versões do ZITADEL 2.31.0 a 3.4.6: Atualize para a versão 3.4.7 ou posterior. Versões do ZITADEL 2.31.0 a 4.10.9: Atualize para a versão 4.11.0 ou posterior.