Vulnerabilidad en Zitadel (CVE-2024-28197)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
11/03/2024
Última modificación:
07/01/2025
Descripción
Zitadel es un sistema de gestión de identidades de código abierto. Zitadel utiliza una cookie para identificar el agente de usuario (navegador) y sus sesiones de usuario. Aunque la cookie se manejó de acuerdo con las mejores prácticas, era accesible en los subdominios de la instancia ZITADEL. Un atacante podría aprovechar esto y proporcionar un enlace malicioso alojado en el subdominio al usuario para obtener acceso a la cuenta de la víctima en ciertos escenarios. Una posible víctima tendría que iniciar sesión a través del enlace malicioso para que este exploit funcione. Si la posible víctima ya tuviera presente la cookie, el ataque no tendría éxito. Además, el ataque solo sería posible si hubiera una vulnerabilidad inicial en el subdominio. Esto podría ser que el atacante pueda controlar DNS o una vulnerabilidad XSS en una aplicación alojada en un subdominio. Se han parcheado las versiones 2.46.0, 2.45.1 y 2.44.3. Zitadel recomienda actualizar a las últimas versiones disponibles oportunamente. Tenga en cuenta que la aplicación del parche invalidará la cookie actual y, por lo tanto, los usuarios deberán iniciar una nueva sesión y las sesiones existentes (selección de usuario) estarán vacías. Para entornos autohospedados que no pueden actualizar a una versión parcheada, evite configurar el siguiente nombre de cookie en los subdominios de su instancia de Zitadel (por ejemplo, dentro de su WAF): `__Secure-zitadel-useragent`.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.44.3 (excluyendo) | |
cpe:2.3:a:zitadel:zitadel:2.45.0:-:*:*:*:*:*:* | ||
cpe:2.3:a:zitadel:zitadel:2.45.0:rc1:*:*:*:*:*:* | ||
cpe:2.3:a:zitadel:zitadel:2.46.0:rc1:*:*:*:*:*:* | ||
cpe:2.3:a:zitadel:zitadel:2.46.0:rc2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página