PT-2026-22071 · Zitadel · Zitadel
Livio-A
·
Publicado
2026-02-26
·
Atualizado
2026-03-30
·
CVE-2026-27946
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N |
Nome do Software Vulnerável e Versões Afetadas
ZITADEL versões anteriores a 3.4.7
ZITADEL versões anteriores a 4.11.1
Descrição
O ZITADEL, uma plataforma de gerenciamento de identidade de código aberto, possuía uma falha em seu recurso de autogerenciamento. Isso permitia que os usuários marcassem falsamente seus e-mails e telefones como verificados sem concluir o processo de verificação. O problema foi resolvido ao aplicar verificações adequadas de permissões ao definir a flag de verificação e restringir o autogerenciamento ao próprio endereço de e-mail e/ou número de telefone.
Recomendações
Atualize para a versão 3.4.7 do ZITADEL ou posterior.
Atualize para a versão 4.11.1 do ZITADEL ou posterior.
Se não for possível atualizar, utilize uma ação (v2) para impedir a definição da flag de verificação nas contas de usuário.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zitadel