PT-2024-32379 · Zitadel · Zitadel
Prdp1137
·
Publicado
2024-09-19
·
Atualizado
2024-09-26
·
CVE-2024-47060
CVSS v4.0
7.4
Alta
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Zitadel anteriores à 2.54.10
Versões do Zitadel da 2.55.0 à 2.55.7
Versões do Zitadel da 2.56.0 à 2.56.5
Versões do Zitadel da 2.57.0 à 2.57.4
Versões do Zitadel de 2.58.0 a 2.58.4
Versões do Zitadel de 2.59.0 a 2.59.2
Versões do Zitadel de 2.60.0 a 2.60.1
Versões do Zitadel de 2.61.0 a 2.61.0
Versões do Zitadel de 2.62.0 a 2.62.0
Descrição
O problema decorre do fato de que, quando uma organização é desativada no Zitadel, os aplicativos associados a ela não são desativados automaticamente. Isso permite o acesso não autorizado a projetos e seus recursos, que deveriam ter sido restritos após a desativação da organização. Usuários de outras organizações ainda podem fazer login e acessar esses aplicativos, levando a acesso não autorizado.
Recomendações
Para versões anteriores à 2.54.10, atualize para a versão 2.54.10 ou posterior.
Para versões de 2.55.0 a 2.55.7, atualize para a versão 2.55.8 ou posterior.
Para versões de 2.56.0 a 2.56.5, atualize para a versão 2.56.6 ou posterior.
Para versões de 2.57.0 a 2.57.4, atualize para a versão 2.57.5 ou posterior.
Para versões de 2.58.0 a 2.58.4, atualize para a versão 2.58.5 ou posterior.
Para as versões 2.59.0 a 2.59.2, atualize para a versão 2.59.3 ou posterior.
Para as versões 2.60.0 a 2.60.1, atualize para a versão 2.60.2 ou posterior.
Para as versões 2.61.0 a 2.61.0, atualize para a versão 2.61.1 ou posterior.
Para
Exploit
Correção
Information Disclosure
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zitadel