PT-2025-34464 · Zitadel · Zitadel
Adksrijan
+1
·
Publicado
2025-08-22
·
Atualizado
2025-08-26
·
CVE-2025-57770
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Versões do Zitadel 4.0.0 até 4.0.2
Versões do Zitadel 3.0.0 até 3.3.6
Versões do Zitadel anteriores à 2.71.15
Descrição:
O Zitadel permite que administradores desabilitem o auto-registro de usuários. Existe uma falha de enumeração de nomes de usuário na interface de login devido a um contorno do recurso de segurança 'Ignorar nomes de usuário desconhecidos'. Um atacante não autenticado pode enviar IDs de usuário arbitrários para a página de seleção de conta e diferenciar entre contas válidas e inválidas com base na resposta do sistema. A exploração envolve iterar sobre possíveis IDs de usuário, mas a limitação de taxa pode mitigar o impacto.
Recomendações:
Atualizar para a versão 4.0.3 ou posterior do Zitadel.
Atualizar para a versão 3.4.0 ou posterior do Zitadel.
Atualizar para a versão 2.71.15 ou posterior do Zitadel.
Exploit
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zitadel