PT-2025-29579 · Zitadel · Zitadel
Livio
+1
·
Publicado
2025-07-15
·
Atualizado
2025-07-15
·
CVE-2025-53895
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do ZITADEL anteriores à 4.0.0-rc.2
Versões do ZITADEL anteriores à 3.3.2
Versões do ZITADEL anteriores à 2.71.13
Versões do ZITADEL anteriores à 2.70.14
Versões do ZITADEL de 2.53.0 a 3.3.1
Descrição
A API de gerenciamento de sessão do ZITADEL possui uma falha na qual um usuário autenticado pode atualizar uma sessão conhecendo apenas o seu ID, devido à ausência de uma verificação de permissão. Isso permite o sequestro de sessão, possibilitando que um atacante se passe por outro usuário e acesse recursos sensíveis.
Recomendações
Atualize o ZITADEL para a versão 4.0.0-rc.2 ou posterior.
Atualize o ZITADEL para a versão 3.3.2 ou posterior.
Atualize o ZITADEL para a versão 2.71.13 ou posterior.
Atualize o ZITADEL para a versão 2.70.14 ou posterior.
Exploit
Correção
Incorrect Authorization
Session Fixation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zitadel