CVE-2025-67494

Nome do Software Vulnerável e Versões Afetadas Versões do ZITADEL 4.7.0 e anteriores

Descrição O ZITADEL é uma ferramenta de infraestrutura de identidade de código aberto suscetível a uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) não autenticada e de leitura completa. A Interface de Login do ZITADEL (V2) confia incorretamente no cabeçalho x-zitadel-forward-host, permitindo que um atacante não autenticado force o servidor a realizar solicitações HTTP para domínios arbitrários. Isso pode resultar em exfiltração de dados e contorno de controles de segmentação de rede. A vulnerabilidade permite o pivô de rede, possibilitando que atacantes mapeiem a infraestrutura interna.

Recomendações Atualize para a versão 4.7.1 ou posterior.