Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ZITADEL (CVE-2024-28855)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
18/03/2024
Última modificación:
08/01/2025

Descripción

ZITADEL, software de gestión de autenticación de código abierto, utiliza plantillas Go para representar la interfaz de usuario de inicio de sesión. Debido a un uso inadecuado del paquete `text/template` en lugar del paquete `html/template`, la interfaz de usuario de inicio de sesión no sanitizó los parámetros de entrada antes de las versiones 2.47.3, 2.46.1, 2.45.1, 2.44.3, 2.43. .9, 2.42.15 y 2.41.15. Un atacante podría crear un enlace malicioso, donde inyectaría un código que se mostraría como parte de la pantalla de inicio de sesión. Si bien era posible inyectar HTML, incluido JavaScript, la Política de seguridad de contenido impediría la ejecución de dichos scripts. Las versiones 2.47.3, 2.46.1, 2.45.1, 2.44.3, 2.43.9, 2.42.15 y 2.41.15 contienen un parche para este problema. No hay workarounds conocidos disponibles.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* 2.41.15 (excluyendo)
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* 2.42.0 (incluyendo) 2.42.15 (excluyendo)
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* 2.43.0 (incluyendo) 2.43.9 (excluyendo)
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* 2.44.0 (incluyendo) 2.44.3 (excluyendo)
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* 2.47.0 (incluyendo) 2.47.4 (excluyendo)
cpe:2.3:a:zitadel:zitadel:2.45.0:-:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:2.45.0:rc1:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:2.46.0:-:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:2.46.0:rc1:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:2.46.0:rc2:*:*:*:*:*:*