CVE-2026-44671

Nome do Software Vulnerável e Versões Afetadas ZITADEL versões 2.71.11 até 2.71.19 ZITADEL versões 3.1.0 até 3.4.9 ZITADEL versões 4.0.0 até 4.14.0

Description Um problema existe na implementação do provedor de identidade LDAP, onde nomes de usuário fornecidos pelo usuário não são devidamente escapados antes de serem incluídos em filtros de pesquisa LDAP. Isso permite que atacantes não autenticados realizem a Injeção de Filtro LDAP durante o processo de login. Ao usar metacaracteres LDAP como *, ( e ), um atacante pode executar a injeção LDAP cega. Essa técnica permite a enumeração sistemática de nomes de usuário válidos e a extração de dados de atributos sensíveis do diretório LDAP conectado, analisando as respostas de sucesso ou falha. Isso não permite a bypass total de autenticação.

Recommendations Atualizar as versões 2.71.11 até 2.71.19 para 3.4.10. Atualizar as versões 3.1.0 até 3.4.9 para 3.4.10. Atualizar as versões 4.0.0 até 4.14.0 para 4.15.0. Garantir que o diretório LDAP possua controles de acesso rigorosos para limitar o escopo da divulgação de informações.