CVE-2025-31124

Nome do Software Vulnerável e Versões Afetadas Versões do Zitadel anteriores a 2.71.6 Versões do Zitadel anteriores a 2.70.8 Versões do Zitadel anteriores a 2.69.9 Versões do Zitadel anteriores a 2.68.9 Versões do Zitadel anteriores a 2.67.13 Versões do Zitadel anteriores a 2.66.16 Versões do Zitadel anteriores a 2.65.7 Versões do Zitadel anteriores a 2.64.6 Versões do Zitadel anteriores a 2.63.9

Descrição O problema diz respeito ao Zitadel, um software de infraestrutura de identidade de código aberto. Uma configuração chamada "Ignoring unknown usernames" ("Ignorar nomes de usuário desconhecidos") destina-se a mitigar ataques que tentam adivinhar ou enumerar nomes de usuário. No entanto, devido a um processo de normalização, a existência do nome de usuário poderia ser revelada, mesmo quando esta configuração está habilitada. Isso ocorre porque o software exibe o prompt de senha e informa "Nome de usuário ou senha inválidos" para usuários inexistentes, mas a normalização do nome de usuário leva à divulgação da existência do usuário.

Recomendações Atualize para a versão 2.71.6 ou posterior para o ramo 2.71. Atualize para a versão 2.70.8 ou posterior para o ramo 2.70. Atualize para a versão 2.69.9 ou posterior para o ramo 2.69. Atualize para a versão 2.68.9 ou posterior para o ramo 2.68. Atualize para a versão 2.67.13 ou posterior para o ramo 2.67. Atualize para a versão 2.66.16 ou posterior para o ramo 2.66. Atualize para a versão 2.65.7 ou posterior para o ramo 2.65. Atualize para a versão 2.64.6 ou posterior para o ramo 2.64. Atualize para a versão 2.63.9 ou posterior para o ramo 2.63.