CVE-2026-27840

Nome do Software Vulnerável e Versões Afetadas Versões do ZITADEL 2.31.0 a 3.4.6 Versões do ZITADEL 2.31.0 a 4.10.9

Descrição O ZITADEL é uma plataforma de gerenciamento de identidade de código aberto. A partir da versão 2.31.0 e anteriores às versões 3.4.7 e 4.11.0, tokens de acesso OIDC opacos no formato v2 truncados para 80 caracteres são considerados válidos. O ZITADEL usa criptografia AES simétrica para tokens opacos, e a carga útil em texto simples inclui um ID de token e um ID de usuário. Os tokens da Versão 2 identificam o ID do token como v2 <oidc session id>-at <access token id>. Quando os tokens são truncados, o user id está ausente no texto simples. O back-end ainda aceita esses tokens truncados porque depende dos dados de sessão do banco de dados para identificação do usuário em tokens v2. A correção nas versões 4.11.0 e 3.4.7 resolve o problema verificando o user id do token em relação aos dados de sessão no banco de dados.

Recomendações Versões do ZITADEL 2.31.0 a 3.4.6: Atualize para a versão 3.4.7 ou posterior. Versões do ZITADEL 2.31.0 a 4.10.9: Atualize para a versão 4.11.0 ou posterior.