PT-2024-29660 · Zitadel · Zitadel
Livio-A
·
Publicado
2024-07-31
·
Atualizado
2025-01-08
·
CVE-2024-41952
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Zitadel anteriores à 2.53.9
Versões do Zitadel anteriores à 2.54.8
Versões do Zitadel anteriores à 2.55.5
Versões do Zitadel anteriores à 2.56.2
Versões do Zitadel anteriores à 2.57.1
Versões do Zitadel anteriores à 2.58.1
Descrição
O Zitadel é um sistema de gerenciamento de identidades de código aberto. O sistema possui uma configuração chamada “Ignorar nomes de usuário desconhecidos”, que ajuda a mitigar ataques que tentam adivinhar ou enumerar nomes de usuário. Se ativada, o Zitadel exibirá a solicitação de senha mesmo que o usuário não exista e informará “Nome de usuário ou senha inválida”. No entanto, devido a uma alteração na implementação para evitar deadlocks ao acessar o banco de dados, o sinalizador não seria respeitado corretamente em todos os casos, e um invasor obteria informações se uma conta existisse no Zitadel, já que a mensagem de erro exibe “objeto não encontrado” em vez da mensagem de erro genérica.
Recomendações
Atualize para a versão 2.53.9 ou posterior para as versões 2.53.x do Zitadel
Atualize para a versão 2.54.8 ou posterior para as versões 2.54.x do Zitadel
Atualize para a versão 2.55.5 ou posterior para as versões 2.55.x do Zitadel
Atualize para a versão 2.56.2 ou posterior para as versões 2.56.x do Zitadel
Atualize para a versão 2.57.1 ou posterior para as versões 2.57.x do Zitadel
Atualize para a versão 2.58.1 ou posterior para as versões 2.58.x do Zitadel
Exploit
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zitadel