CVE-2025-67495

Nome do Software Vulnerável e Versões Afetadas Versões do ZITADEL de 4.0.0-rc.1 a 4.7.0

Descrição O ZITADEL, uma ferramenta de infraestrutura de identidade de código aberto, está suscetível a uma vulnerabilidade de Cross-Site Scripting (XSS) baseado em DOM através do endpoint de logout do Zitadel V2. O endpoint da API /logout redireciona de forma insegura para um valor fornecido no parâmetro GET post logout redirect. Isso permite que um atacante remoto não autenticado execute código JavaScript malicioso nos navegadores dos usuários do ZITADEL. Esta vulnerabilidade requer múltiplas sessões de usuário ativas no mesmo navegador para ser explorada. O sequestro de conta é mitigado quando a Autenticação de Múltiplos Fatores (MFA) ou a autenticação sem senha estão habilitadas.

Recomendações Versões anteriores a 4.7.1 devem ser atualizadas.