Vulnerabilidad en Zitadel (CVE-2025-31124)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
31/03/2025
Última modificación:
26/08/2025
Descripción
Zitadel es un software de infraestructura de identidad de código abierto. Los administradores de ZITADEL pueden habilitar la configuración "Ignorar nombres de usuario desconocidos", que ayuda a mitigar los ataques que intentan adivinar o enumerar nombres de usuario. Si se habilita, ZITADEL mostrará la solicitud de contraseña incluso si el usuario no existe e informará "Nombre de usuario o contraseña no válidos". Si bien la configuración se respetó correctamente durante el inicio de sesión, el nombre de usuario se normalizó, lo que reveló su existencia. Esta vulnerabilidad está corregida en las versiones 2.71.6, 2.70.8, 2.69.9, 2.68.9, 2.67.13, 2.66.16, 2.65.7, 2.64.6 y 2.63.9.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.63.9 (excluyendo) | |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.64.0 (incluyendo) | 2.64.6 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.65.0 (incluyendo) | 2.65.7 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.66.0 (incluyendo) | 2.66.16 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.67.0 (incluyendo) | 2.67.13 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.68.0 (incluyendo) | 2.68.9 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.69.0 (incluyendo) | 2.69.9 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.70.0 (incluyendo) | 2.70.8 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.71.0 (incluyendo) | 2.71.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/zitadel/zitadel/commit/14de8ecac2afafee4975ed7ac26f3ca4a2b0f82c
- https://github.com/zitadel/zitadel/releases/tag/v2.63.9
- https://github.com/zitadel/zitadel/releases/tag/v2.64.6
- https://github.com/zitadel/zitadel/releases/tag/v2.65.7
- https://github.com/zitadel/zitadel/releases/tag/v2.66.16
- https://github.com/zitadel/zitadel/releases/tag/v2.67.13
- https://github.com/zitadel/zitadel/releases/tag/v2.68.9
- https://github.com/zitadel/zitadel/releases/tag/v2.69.9
- https://github.com/zitadel/zitadel/releases/tag/v2.70.8
- https://github.com/zitadel/zitadel/releases/tag/v2.71.6
- https://github.com/zitadel/zitadel/security/advisories/GHSA-67m4-8g4w-633q