Vulnerabilidad en ZITADEL (CVE-2025-46815)

El software de infraestructura de identidad ZITADEL ofrece a los desarrolladores la posibilidad de gestionar sesiones de usuario mediante la API de sesión. Esta API permite el uso de proveedores de identidad (IdP) para la autenticación, conocidos como intentos de IdP. Tras un intento de IdP exitoso, el cliente recibe un ID y un token en una URI predefinida. Estos ID y token pueden utilizarse para autenticar al usuario o su sesión. Sin embargo, antes de las versiones 3.0.0, 2.71.9 y 2.70.10, era posible explotar esta función mediante el uso repetido de intentos. Esto permitía a un atacante con acceso a la URI de la aplicación recuperar el ID y el token, lo que le permitía autenticarse en nombre del usuario. Es importante tener en cuenta que el uso de factores adicionales (MFA) impide un proceso de autenticación completo y, en consecuencia, el acceso a la API de ZITADEL. Las versiones 3.0.0, 2.71.9 y 2.70.10 contienen una solución para este problema. No se conocen workarounds aparte de la actualización.