Vulnerabilidad en Zitadel (CVE-2025-27507)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/03/2025
Última modificación:
26/08/2025
Descripción
El software de infraestructura de identidad de código abierto Zitadel permite a los administradores desactivar el autorregistro de usuarios. La API de administración de ZITADEL contiene vulnerabilidades de referencia directa a objetos inseguros (IDOR) que permiten a los usuarios autenticados, sin roles de IAM específicos, modificar configuraciones confidenciales. Si bien varios endpoints se ven afectados, la vulnerabilidad más crítica radica en la capacidad de manipular configuraciones LDAP. Los clientes que no utilizan LDAP para la autenticación no corren el riesgo de sufrir los aspectos más graves de esta vulnerabilidad. Sin embargo, se recomienda encarecidamente actualizar a la versión parcheada para solucionar todos los problemas identificados. Esta vulnerabilidad se ha corregido en 2.71.0, 2.70.1, 2.69.4, 2.68.4, 2.67.8, 2.66.11, 2.65.6, 2.64.5 y 2.63.8.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.63.8 (excluyendo) | |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.64.0 (incluyendo) | 2.64.5 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.65.0 (incluyendo) | 2.65.6 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.66.0 (incluyendo) | 2.66.11 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.67.0 (incluyendo) | 2.67.8 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.68.0 (incluyendo) | 2.68.4 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.69.0 (incluyendo) | 2.69.4 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.70.0 (incluyendo) | 2.70.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página