PT-2024-28623 · Zitadel · Zitadel
Amirhoseinbrz
+3
·
Publicado
2024-07-03
·
Atualizado
2025-01-08
·
CVE-2024-39683
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do ZITADEL 2.0.0 a 2.53.7
Versões do ZITADEL 2.54.0 a 2.54.4
Versões do ZITADEL 2.55.0 a 2.55.0
Descrição
O ZITADEL é uma ferramenta de infraestrutura de identidade de código aberto que permite aos usuários listar todas as sessões do agente de usuário atual. Devido a uma falha na verificação, sessões de usuário sem essa informação foram listadas incorretamente, expondo potencialmente as sessões de outros usuários. O problema afeta a API e a interface do console, mas não a interface de login. Não há possibilidade de assumir o controle de tal sessão.
Recomendações
Para as versões 2.0.0 a 2.53.7 do ZITADEL, atualize para a versão 2.53.8 ou posterior.
Para as versões 2.54.0 a 2.54.4 do ZITADEL, atualize para a versão 2.54.5 ou posterior.
Para a versão 2.55.0 do ZITADEL, atualize para a versão 2.55.1 ou posterior.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zitadel