Vulnerabilidad en zitadel (CVE-2026-33132)

ZITADEL es una plataforma de gestión de identidades de código abierto. Las versiones anteriores a la 3.4.9 y de la 4.0.0 a la 4.12.2 permitían a los usuarios eludir la aplicación de la organización durante la autenticación. Zitadel permite a las aplicaciones aplicar un contexto de organización durante la autenticación utilizando ámbitos (urn:zitadel:iam:org:id:{id} y urn:zitadel:iam:org:domain:primary:{domainname}). Si se aplica, un usuario necesita ser parte de la organización requerida para iniciar sesión. Aunque esto se aplicaba correctamente para las solicitudes de autorización de OAuth2/OIDC en el inicio de sesión V1, faltaban controles correspondientes para las solicitudes de autorización de dispositivos y todos los puntos finales de inicio de sesión V2 y OIDC API V2. Esto permitía a los usuarios eludir la restricción e iniciar sesión con usuarios de otras organizaciones. Tenga en cuenta que esta aplicación permite una verificación adicional durante la autenticación y las aplicaciones que dependen de autorizaciones / asignaciones de roles no se ven afectadas por esta elusión. Este problema ha sido parcheado en las versiones 3.4.9 y 4.12.3.