CVE-2026-29192

Nome do Software Vulnerável e Versões Afetadas Versões do ZITADEL de 4.0.0 a 4.11.1

Descrição O ZITADEL, uma plataforma de gerenciamento de identidade de código aberto, possui uma falha em sua interface de login V2 que pode permitir a tomada de conta via Redirecionamento de URI Padrão. Um atacante remoto não autenticado pode explorar uma vulnerabilidade de XSS Armazenado para redefinir senhas e assumir contas. Isso se deve à falta de restrições e ao tratamento inadequado da URI de redirecionamento padrão, permitindo que código JavaScript malicioso seja executado na interface de login do ZITADEL. O problema é mitigado para contas com Autenticação de Múltiplos Fatores (MFA) ou autenticação sem senha habilitada. O componente vulnerável é a interface de login V2.

Recomendações Atualize para a versão 4.12.0 ou posterior.