Vulnerabilidad en Zitadel (CVE-2025-31123)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
31/03/2025
Última modificación:
26/08/2025
Descripción
Zitadel es un software de infraestructura de identidad de código abierto. Existía una vulnerabilidad que permitía usar claves caducadas para recuperar tokens. En concreto, ZITADEL no verificaba correctamente la fecha de caducidad de la clave JWT al usarla para concesiones de autorización. Esto permitía a un atacante con una clave caducada obtener tokens de acceso válidos. Esta vulnerabilidad no afecta el uso del perfil JWT para la autenticación de cliente OAuth 2.0 en los endpoints de token e introspección, que rechazan correctamente las claves caducadas. Esta vulnerabilidad se ha corregido en las versiones 2.71.6, 2.70.8, 2.69.9, 2.68.9, 2.67.13, 2.66.16, 2.65.7, 2.64.6 y 2.63.9.
Impacto
Puntuación base 3.x
8.70
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.62.0 (incluyendo) | 2.63.9 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.64.0 (incluyendo) | 2.64.6 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.65.0 (incluyendo) | 2.65.7 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.66.0 (incluyendo) | 2.66.16 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.67.0 (incluyendo) | 2.67.13 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.68.0 (incluyendo) | 2.68.9 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.69.0 (incluyendo) | 2.69.9 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.70.0 (incluyendo) | 2.70.8 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.71.0 (incluyendo) | 2.71.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/zitadel/zitadel/commit/315503beabd679f2e6aec0c004f0f9d2f5b53ed3
- https://github.com/zitadel/zitadel/releases/tag/v2.63.9
- https://github.com/zitadel/zitadel/releases/tag/v2.64.6
- https://github.com/zitadel/zitadel/releases/tag/v2.65.7
- https://github.com/zitadel/zitadel/releases/tag/v2.66.16
- https://github.com/zitadel/zitadel/releases/tag/v2.67.13
- https://github.com/zitadel/zitadel/releases/tag/v2.68.9
- https://github.com/zitadel/zitadel/releases/tag/v2.69.9
- https://github.com/zitadel/zitadel/releases/tag/v2.70.8
- https://github.com/zitadel/zitadel/releases/tag/v2.71.6
- https://github.com/zitadel/zitadel/security/advisories/GHSA-h3q7-347g-qwhf