PT-2024-33667 · Zitadel+1 · Zitadel+1
Evilgensec
+1
·
Publicado
2024-10-25
·
Atualizado
2025-08-26
·
CVE-2024-49757
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas:
Versões do Zitadel anteriores à 2.64.0
Versões do Zitadel anteriores à 2.63.5
Versões do Zitadel anteriores à 2.62.7
Versões do Zitadel anteriores à 2.61.4
Versões do Zitadel anteriores à 2.60.4
Versões do Zitadel anteriores à 2.59.5
Versões do Zitadel anteriores à 2.58.7
Descrição:
O software de infraestrutura de identidade de código aberto Zitadel permite que os administradores desativem o auto-registro de usuários. Devido a uma falha na verificação de segurança, desativar a opção “Registro de usuário permitido” apenas ocultava o botão de registro na página de login. Os usuários podiam contornar essa restrição acessando diretamente a URL de registro (/ui/login/loginname) e registrando um usuário dessa forma.
Recomendações:
Atualize para a versão 2.64.0 ou posterior para o ramo 2.x.
Atualize para a versão 2.63.5 ou posterior para o ramo 2.63.x.
Atualize para a versão 2.62.7 ou posterior para o ramo 2.62.x.
Atualize para a versão 2.61.4 ou posterior para o ramo 2.61.x.
Atualize para a versão 2.60.4 ou posterior para o ramo 2.60.x.
Atualize para a versão 2.59.5 ou posterior para o ramo 2.59.x.
Atualize para a versão 2.58.7 ou posterior para o ramo 2.58.x.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Suse
Zitadel