PT-2024-22608 · Zitadel · Zitadel
Daniel Philipp
+1
·
Publicado
2024-03-18
·
Atualizado
2025-01-08
·
CVE-2024-28855
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do ZITADEL anteriores à 2.47.3
Versões do ZITADEL anteriores à 2.46.1
Versões do ZITADEL anteriores à 2.45.1
Versões do ZITADEL anteriores à 2.44.3
Versões do ZITADEL anteriores à 2.43.9
Versões do ZITADEL anteriores à 2.42.15
Versões do ZITADEL anteriores à 2.41.15
Descrição
O ZITADEL, um software de gerenciamento de autenticação de código aberto, utiliza modelos Go para renderizar a interface de usuário de login. Devido ao uso inadequado do pacote
text/template em vez do pacote html/template, a interface de usuário de login não sanitizava os parâmetros de entrada. Um invasor poderia criar um link malicioso, no qual injetaria código que seria renderizado como parte da tela de login. Embora fosse possível injetar HTML incluindo JavaScript, a execução desses scripts seria impedida pela Política de Segurança de Conteúdo (Content Security Policy).Recomendações
Atualize para a versão 2.47.3 ou posterior para as versões 2.x.
Atualize para a versão 2.46.1 ou posterior para versões 2.46.x.
Atualize para a versão 2.45.1 ou posterior para versões 2.45.x.
Atualize para a versão 2.44.3 ou posterior para versões 2.44.x.
Atualize para a versão 2.43.9 ou posterior para versões 2.43.x.
Atualize para a versão 2.42.15 ou posterior para as versões 2.42.x.
Atualize para a versão 2.41.15 ou posterior para as versões 2.41.x.
Exploit
Correção
RCE
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zitadel