PT-2024-32331 · Zitadel · Zitadel
Livio-A
·
Publicado
2024-09-19
·
Atualizado
2024-09-26
·
CVE-2024-46999
CVSS v4.0
7.4
Alta
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Zitadel anteriores à 2.54.10
Versões do Zitadel da 2.55.0 à 2.55.7
Versões do Zitadel da 2.56.0 à 2.56.5
Versões do Zitadel da 2.57.0 à 2.57.4
Versões do Zitadel de 2.58.0 a 2.58.4
Versões do Zitadel de 2.59.0 a 2.59.2
Versões do Zitadel de 2.60.0 a 2.60.1
Versões do Zitadel de 2.61.0 a 2.61.0
Versões do Zitadel de 2.62.0 a 2.62.0
Descrição
O Zitadel é uma plataforma de gerenciamento de identidade de código aberto. O mecanismo de desativação de concessões de usuário não funcionava corretamente, permitindo que concessões de usuário desativadas fossem fornecidas em tokens. Isso poderia levar ao acesso não autorizado a aplicativos e recursos. A API de gerenciamento e autenticação sempre retornava o estado como ativo ou não fornecia nenhuma informação sobre o estado.
Recomendações
Para versões anteriores à 2.54.10, atualize para a versão 2.54.10 ou posterior.
Para versões de 2.55.0 a 2.55.7, atualize para a versão 2.55.8 ou posterior.
Para versões de 2.56.0 a 2.56.5, atualize para a versão 2.56.6 ou posterior.
Para versões de 2.57.0 a 2.57.4, atualize para a versão 2.57.5 ou posterior.
Para versões de 2.58.0 a 2.58.4, atualize para a versão 2.58.5 ou posterior.
Para versões de 2.59.0 a 2.59.2, atualize para a versão 2.59.3 ou posterior.
Para as versões 2.60.0 a 2.60.1, atualize para a versão 2.60.2 ou posterior.
Para as versões 2.61.0 a 2.61.0, atualize para a versão 2.61.1 ou posterior.
Para as versões 2.62.0 a 2.62.0, atualize
Exploit
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zitadel