Vulnerabilidad en Zitadel (CVE-2025-57770)

El software de infraestructura de identidad de código abierto Zitadel permite a los administradores desactivar el autorregistro de usuarios. Las versiones 4.0.0 a 4.0.2, 3.0.0 a 3.3.6 y todas las versiones anteriores a la 2.71.15 son vulnerables a un problema de enumeración de nombres de usuario en la interfaz de inicio de sesión. Esta interfaz incluye una función de seguridad, Ignorar nombres de usuario desconocidos, que impide la enumeración de nombres de usuario devolviendo una respuesta genérica tanto para nombres de usuario válidos como no válidos. Esta vulnerabilidad permite a un atacante no autenticado eludir esta protección enviando ID de usuario arbitrarios a la página de selección de cuenta y distinguiendo entre cuentas válidas e inválidas según la respuesta del sistema. Para una explotación eficaz, un atacante debe iterar entre los posibles ID de usuario, pero el impacto puede limitarse implementando una limitación de velocidad o medidas similares. El problema se ha corregido en las versiones 4.0.3, 3.4.0 y 2.71.15.