CRITICAL🇬🇧 English

CVE-2025-27507

IDOR w Zitadel Admin API umożliwia modyfikację wrażliwych ustawień

CVSS 9.0v3.1pub. 2025-03-04upd. 2025-08-26

W oprogramowaniu Zitadel odkryto podatności typu Insecure Direct Object Reference (IDOR) w Admin API, które pozwalają uwierzytelnionym użytkownikom bez odpowiednich ról IAM na modyfikację wrażliwych ustawień systemu. Najbardziej krytycznym aspektem jest możliwość manipulacji konfiguracją LDAP, co może prowadzić do przejęcia kontroli nad mechanizmem uwierzytelniania.

Pokaż oryginał (EN)

The open-source identity infrastructure software Zitadel allows administrators to disable the user self-registration. ZITADEL's Admin API contains Insecure Direct Object Reference (IDOR) vulnerabilities that allow authenticated users, without specific IAM roles, to modify sensitive settings. While several endpoints are affected, the most critical vulnerability lies in the ability to manipulate LDAP configurations. Customers who do not utilize LDAP for authentication are not at risk from the most severe aspects of this vulnerability. However, upgrading to the patched version to address all identified issues is strongly recommended. This vulnerability is fixed in 2.71.0, 2.70.1, ,2.69.4, 2.68.4, 2.67.8, 2.66.11, 2.65.6, 2.64.5, and 2.63.8.

🤖 Analiza AI
Jak działa

Podatność polega na braku odpowiedniej weryfikacji uprawnień dla określonych endpointów Admin API — atakujący może bezpośrednio odwoływać się do obiektów i modyfikować ich wartości, omijając kontrolę ról IAM. Najbardziej krytyczny wektor dotyczy manipulacji konfiguracją LDAP, co może pozwolić na zmianę ustawień dostawcy tożsamości. Podatność wymaga posiadania aktywnego konta w systemie, lecz nie wymaga przypisania specjalnych uprawnień administracyjnych.

Skutki

Atakujący z dostępem do konta bez uprzywilejowanych ról IAM może modyfikować wrażliwe ustawienia systemu zarządzania tożsamością, w tym konfigurację LDAP, co może prowadzić do naruszenia poufności i integralności danych uwierzytelniających oraz całego środowiska tożsamości.

Mitygacja

Należy zaktualizować Zitadel do jednej z poprawionych wersji: 2.71.0, 2.70.1, 2.69.4, 2.68.4, 2.67.8, 2.66.11, 2.65.6, 2.64.5 lub 2.63.8. Organizacje niekorzystające z LDAP powinny mimo to wdrożyć patch, ponieważ podatność obejmuje również inne endpointy Admin API. Szczegóły dostępne w oficjalnym security advisory na GitHub.

Kogo dotyczy

Zitadel we wszystkich wersjach poprzedzających: 2.71.0, 2.70.1, 2.69.4, 2.68.4, 2.67.8, 2.66.11, 2.65.6, 2.64.5 oraz 2.63.8. Najpoważniejsze ryzyko dotyczy środowisk korzystających z LDAP jako mechanizmu uwierzytelniania.

Uwagi

Producent wskazuje, że klienci nieużywający LDAP do uwierzytelniania nie są narażeni na najbardziej krytyczny aspekt podatności, jednak aktualizacja jest zalecana dla wszystkich użytkowników ze względu na inne podatne endpointy Admin API.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L
  • Zitadel

    APP
    Zitadel
    < 2.63.82.64.0 – 2.64.5 (bez)2.65.0 – 2.65.6 (bez)2.66.0 – 2.66.11 (bez)2.67.0 – 2.67.8 (bez)2.68.0 – 2.68.4 (bez)2.69.0 – 2.69.4 (bez)2.70.0 – 2.70.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
IDOR
CWE
Referencje

Powiązane podatności

CVE-2026-29191CRITICAL9.3PL ✓ten sam produkt

XSS w Zitadel Login V2 — możliwe przejęcie konta przez /saml-post

CVE-2025-67494CRITICAL9.3PL ✓ten sam produkt

SSRF bez uwierzytelnienia w ZITADEL — odczyt wewnętrznych zasobów sieciowych

CVE-2026-44671HIGH7.5ten sam produkt

ZITADEL is an open source identity management platform. From 2.71.11 to before 3.4.10 and 4.15.0, a vulnerabil...

CVE-2026-32131HIGH7.7ten sam produkt

ZITADEL is an open source identity management platform. Prior to 3.4.8 and 4.12.2, a vulnerability in Zitadel'...

CVE-2026-32130HIGH7.5ten sam produkt

ZITADEL is an open source identity management platform. From 2.68.0 to before 3.4.8 and 4.12.2, Zitadel provid...