CVE-2025-48936

Nome do Software Vulnerável e Versões Afetadas Versões do Zitadel anteriores a 2.70.12 Versões do Zitadel anteriores a 2.71.10 Versões do Zitadel anteriores a 3.2.2

Descrição O Zitadel é um software de infraestrutura de identidade de código aberto. Existe um problema potencial no mecanismo de redefinição de senha, no qual o Zitadel utiliza o cabeçalho Forwarded ou X-Forwarded-Host das solicitações recebidas para construir a URL do link de confirmação de redefinição de senha. Este link, contendo um código secreto, é então enviado por e-mail ao usuário. Se um atacante conseguir manipular esses cabeçalhos, poderá fazer com que o Zitadel gere um link de redefinição de senha apontando para um domínio malicioso controlado pelo atacante. Se o usuário clicar neste link manipulado no e-mail, o código secreto de redefinição incorporado na URL poderá ser capturado pelo atacante. Este código capturado poderá então ser usado para redefinir a senha do usuário e obter acesso não autorizado à sua conta. Este vetor de ataque específico é mitigado para contas que têm a Autenticação de Múltiplos Fatores (MFA) ou a autenticação sem senha habilitada.

Recomendações Para versões anteriores a 2.70.12, atualize para a versão 2.70.12 ou posterior. Para versões anteriores a 2.71.10, atualize para a versão 2.71.10 ou posterior. Para versões anteriores a 3.2.2, atualize para a versão 3.2.2 ou posterior. Como solução alternativa temporária, considere habilitar a Autenticação de Múltiplos Fatores (MFA) ou a autenticação sem senha para mitigar o risco de exploração.