Prdp1137

Nome do software vulnerável e versões afetadas: Versões do Zitadel anteriores à 2.64.1 Versões do Zitadel anteriores à 2.63.6 Versões do Zitadel anteriores à 2.62.8 Versões do Zitadel anteriores à 2.61.4 Versões do Zitadel anteriores à 2.60.4 Versões do Zitadel anteriores à 2.59.5 Versões do Zitadel anteriores à 2.58.7 Descrição: Uma falha no mecanismo de validação de URL das ações do Zitadel permite contornar restrições destinadas a bloquear solicitações para o localhost (127.0.0.1). A verificação `isHostBlocked` pode ser contornada criando-se um registro DNS que resolva para 127.0.0.1, permitindo que as ações enviem solicitações para o localhost apesar das medidas de segurança previstas. Isso permite, potencialmente, o acesso não autorizado a pontos de extremidade internos não protegidos, que podem conter informações ou funcionalidades confidenciais. Recomendações: Atualize para a versão 2.64.1 ou posterior para o ramo 2.x. Atualize para a versão 2.63.6 ou posterior para o ramo 2.63.x. Atualize para a versão 2.62.8 ou posterior para o ramo 2.62.x. Atualize para a versão 2.61.4 ou posterior para o ramo 2.61.x. Atualize para a versão 2.60.4 ou posterior para o ramo 2.60.x. Atualize para a versão 2.59.5 ou posterior para o ramo 2.59.x. Atualize para a versão 2.58.7 ou posterior para o ramo 2.58.x.

**Nome do software vulnerável e versões afetadas** Versões do Zitadel anteriores à 2.54.10 Versões do Zitadel da 2.55.0 à 2.55.7 Versões do Zitadel da 2.56.0 à 2.56.5 Versões do Zitadel da 2.57.0 à 2.57.4 Versões do Zitadel de 2.58.0 a 2.58.4 Versões do Zitadel de 2.59.0 a 2.59.2 Versões do Zitadel de 2.60.0 a 2.60.1 Versões do Zitadel de 2.61.0 a 2.61.0 Versões do Zitadel de 2.62.0 a 2.62.0 **Descrição** O problema decorre do fato de que, quando uma organização é desativada no Zitadel, os aplicativos associados a ela não são desativados automaticamente. Isso permite o acesso não autorizado a projetos e seus recursos, que deveriam ter sido restritos após a desativação da organização. Usuários de outras organizações ainda podem fazer login e acessar esses aplicativos, levando a acesso não autorizado. **Recomendações** Para versões anteriores à 2.54.10, atualize para a versão 2.54.10 ou posterior. Para versões de 2.55.0 a 2.55.7, atualize para a versão 2.55.8 ou posterior. Para versões de 2.56.0 a 2.56.5, atualize para a versão 2.56.6 ou posterior. Para versões de 2.57.0 a 2.57.4, atualize para a versão 2.57.5 ou posterior. Para versões de 2.58.0 a 2.58.4, atualize para a versão 2.58.5 ou posterior. Para as versões 2.59.0 a 2.59.2, atualize para a versão 2.59.3 ou posterior. Para as versões 2.60.0 a 2.60.1, atualize para a versão 2.60.2 ou posterior. Para as versões 2.61.0 a 2.61.0, atualize para a versão 2.61.1 ou posterior. Para