CVE-2025-23208

Nome do Software Vulnerável e Versões Afetadas versões do zot anteriores à 2.1.2

Descrição O problema surge da maneira como os dados de grupo são armazenados para usuários no banco de dados boltdb, especificamente como uma lista de anexação. Isso faz com que revogações ou remoções de grupo sejam ignoradas na API. Quando um usuário faz login, a função SetUserGroups é chamada, mas em vez de substituir as associações de grupo existentes, ela anexa novas. Isso pode causar conflitos com as definições de grupo no arquivo de configuração, embora a natureza exata desse conflito não seja imediatamente clara. Como resultado, qualquer configuração do Zot que dependa de autorização baseada em grupos não respeitará a remoção ou revogação de grupos por um Provedor de Identidade (IdP).

Recomendações Para versões anteriores à 2.1.2, atualize para a versão 2.1.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função SetUserGroups até que uma correção esteja disponível. Evite usar a variável UserData no comando bbolt get meta.db para impedir a anexação de entradas duplicadas sem significado. Restrinja o acesso ao banco de dados boltdb para minimizar o risco de exploração.