CVE-2025-46815

Nome do Software Vulnerável e Versões Afetadas Versões do ZITADEL anteriores a 3.0.0 Versões do ZITADEL anteriores a 2.71.9 Versões do ZITADEL anteriores a 2.70.10

Descrição O problema diz respeito à API de Sessão no ZITADEL, que permite aos desenvolvedores gerenciar sessões de usuário e usar IdPs para autenticação por meio de intenções de IdP. Após uma intenção de IdP bem-sucedida, o cliente recebe um ID e um token em um URI predefinido, que podem ser usados para autenticação. No entanto, um atacante com acesso ao URI da aplicação poderia explorar esse recurso usando repetidamente as intenções para obter o ID e o token, permitindo-lhes autenticar-se em nome do usuário. O uso de fatores adicionais, como MFA, impede a conclusão do processo de autenticação e o acesso à API do ZITADEL.

Recomendações Para versões anteriores a 3.0.0, atualize para a versão 3.0.0 ou posterior. Para versões anteriores a 2.71.9, atualize para a versão 2.71.9 ou posterior. Para versões anteriores a 2.70.10, atualize para a versão 2.70.10 ou posterior.