Vulnerabilidad en ZITADEL (CVE-2023-22492)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/01/2023
Última modificación:
24/01/2023
Descripción
ZITADEL es una combinación de Auth0 y Keycloak. RefreshTokens es una característica de OAuth 2.0 que permite a las aplicaciones recuperar nuevos tokens de acceso y actualizar la sesión del usuario sin la necesidad de interactuar con una interfaz de usuario. Los RefreshTokens no se invalidaban cuando un usuario era bloqueado o desactivado. El usuario desactivado o bloqueado pudo obtener un token de acceso válido solo mediante una concesión de token de actualización. Cuando la sesión del usuario bloqueado o desactivado ya había finalizado (“logged out”) no era posible crear una nueva sesión. La renovación del token de acceso mediante una concesión de token de actualización está limitada a la cantidad de tiempo configurada (RefreshTokenExpiration). Como workaround, asegúrese de que RefreshTokenExpiration en la configuración OIDC de su instancia esté configurado de acuerdo con sus requisitos de seguridad. Este problema se solucionó en las versiones 2.17.3 y 2.16.4.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.16.4 (excluyendo) |
| cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:* | 2.17.0 (incluyendo) | 2.17.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página