CVE-2024-41953

Versões do Zitadel anteriores à 2.52.3

Versões do Zitadel anteriores à 2.53.9

Versões do Zitadel anteriores à 2.54.8

Versões do Zitadel anteriores à 2.55.5

Versões do Zitadel anteriores à 2.56.2

Versões do Zitadel anteriores à 2.57.1

Versões do Zitadel anteriores à 2.58.1

O Zitadel é um sistema de gerenciamento de identidade de código aberto que utiliza HTML para e-mails e renderiza dinamicamente determinadas informações, como nomes de usuário. Devido à falta de sanitização de saída, esses e-mails poderiam incluir código malicioso. Isso pode potencialmente levar a uma ameaça em que um invasor, sem privilégios, poderia enviar notificações alteradas que fazem parte dos processos de registro. Um invasor poderia criar um link malicioso, no qual o código injetado seria renderizado como parte do e-mail. Na página de detalhes do usuário, o nome de usuário também não era sanitizado e renderizava HTML, proporcionando ao invasor a mesma vulnerabilidade. Embora fosse possível injetar HTML incluindo JavaScript, a execução desses scripts seria impedida pela maioria dos clientes de e-mail e pela Política de Segurança de Conteúdo (CSP) na interface do Console.

Para versões anteriores à 2.52.3, atualize para a versão 2.52.3 ou posterior.

Para versões anteriores à 2.53.9, atualize para a versão 2.53.9 ou posterior.

Para versões anteriores à 2.54.8, atualize para a versão 2.54.8 ou posterior.

Para versões anteriores à 2.55.5, atualize para a versão 2.55.5 ou posterior.

Para versões anteriores à 2.56.2, atualize para a versão 2.56.2 ou posterior.

Para versões anteriores à 2.57.1, atualize para a versão