Vulnerabilidad en ZITADEL (CVE-2024-28855)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
18/03/2024
Última modificación:
08/01/2025
Descripción
ZITADEL, software de gestión de autenticación de código abierto, utiliza plantillas Go para representar la interfaz de usuario de inicio de sesión. Debido a un uso inadecuado del paquete `text/template` en lugar del paquete `html/template`, la interfaz de usuario de inicio de sesión no sanitizó los parámetros de entrada antes de las versiones 2.47.3, 2.46.1, 2.45.1, 2.44.3, 2.43. .9, 2.42.15 y 2.41.15. Un atacante podría crear un enlace malicioso, donde inyectaría un código que se mostraría como parte de la pantalla de inicio de sesión. Si bien era posible inyectar HTML, incluido JavaScript, la Política de seguridad de contenido impediría la ejecución de dichos scripts. Las versiones 2.47.3, 2.46.1, 2.45.1, 2.44.3, 2.43.9, 2.42.15 y 2.41.15 contienen un parche para este problema. No hay workarounds conocidos disponibles.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.41.15 (excluyendo) | |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.42.0 (incluyendo) | 2.42.15 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.43.0 (incluyendo) | 2.43.9 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.44.0 (incluyendo) | 2.44.3 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.47.0 (incluyendo) | 2.47.4 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:2.45.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:zitadel:zitadel:2.45.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:zitadel:zitadel:2.46.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:zitadel:zitadel:2.46.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:zitadel:zitadel:2.46.0:rc2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/zitadel/zitadel/releases/tag/v2.41.15
- https://github.com/zitadel/zitadel/releases/tag/v2.42.15
- https://github.com/zitadel/zitadel/releases/tag/v2.43.9
- https://github.com/zitadel/zitadel/releases/tag/v2.44.3
- https://github.com/zitadel/zitadel/releases/tag/v2.45.1
- https://github.com/zitadel/zitadel/releases/tag/v2.46.1
- https://github.com/zitadel/zitadel/releases/tag/v2.47.3
- https://github.com/zitadel/zitadel/security/advisories/GHSA-hfrg-4jwr-jfpj
- https://github.com/zitadel/zitadel/releases/tag/v2.41.15
- https://github.com/zitadel/zitadel/releases/tag/v2.42.15
- https://github.com/zitadel/zitadel/releases/tag/v2.43.9
- https://github.com/zitadel/zitadel/releases/tag/v2.44.3
- https://github.com/zitadel/zitadel/releases/tag/v2.45.1
- https://github.com/zitadel/zitadel/releases/tag/v2.46.1
- https://github.com/zitadel/zitadel/releases/tag/v2.47.3
- https://github.com/zitadel/zitadel/security/advisories/GHSA-hfrg-4jwr-jfpj