PT-2024-32333 · Zitadel · Zitadel
Livio-A
·
Publicado
2024-09-19
·
Atualizado
2024-09-26
·
CVE-2024-47000
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Zitadel anteriores à 2.54.10
Versões do Zitadel 2.55.0 a 2.55.7
Versões do Zitadel 2.56.0 a 2.56.5
Versões do Zitadel 2.57.0 a 2.57.4
Versões do Zitadel 2.58.0 a 2.58.4
Versões do Zitadel 2.59.0 a 2.59.2
Versões do Zitadel 2.60.0 a 2.60.1
Versões do Zitadel 2.61.0 a 2.61.0
Versões do Zitadel 2.62.0 a 2.62.0
Descrição
O mecanismo de desativação de contas de usuário do Zitadel não funcionava corretamente com contas de serviço. As contas de serviço desativadas mantinham a capacidade de solicitar tokens, o que poderia levar ao acesso não autorizado a aplicativos e recursos.
Recomendações
Atualize para a versão 2.54.10 ou posterior.
Para versões anteriores à 2.54.10, considere criar novas credenciais e substituir as antigas onde quer que elas sejam utilizadas.
Revogue todas as chaves de autenticação existentes associadas à conta de serviço.
Altere a senha da conta de serviço.
No momento, não há informações sobre outras versões que contenham uma correção para esta vulnerabilidade.
Exploit
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zitadel