ZITADEL w wersjach 4.7.0 i wcześniejszych zawiera krytyczną podatność SSRF umożliwiającą nieuwierzytelnionemu atakującemu zmuszenie serwera do wykonywania żądań HTTP do dowolnych adresów, w tym wewnętrznych. Podatność jest szczególnie groźna, ponieważ pozwala na odczyt odpowiedzi serwera, co umożliwia eksfiltrację danych i ominięcie kontroli segmentacji sieci.
▸ Pokaż oryginał (EN)
ZITADEL is an open-source identity infrastructure tool. Versions 4.7.0 and below are vulnerable to an unauthenticated, full-read SSRF vulnerability. The ZITADEL Login UI (V2) treats the x-zitadel-forward-host header as a trusted fallback for all deployments, including self-hosted instances. This allows an unauthenticated attacker to force the server to make HTTP requests to arbitrary domains, such as internal addresses, and read the responses, enabling data exfiltration and bypassing network-segmentation controls. This issue is fixed in version 4.7.1.
ZITADEL Login UI (V2) bezwarunkowo traktuje nagłówek HTTP `x-zitadel-forward-host` jako zaufane źródło docelowe dla wszystkich wdrożeń, w tym instalacji self-hosted. Nieuwierzytelniony atakujący może wysłać żądanie z dowolnie ustawionym nagłówkiem `x-zitadel-forward-host`, wskazującym na wewnętrzny adres sieciowy lub zewnętrzną domenę. Serwer ZITADEL wykona żądanie pod wskazany adres i zwróci jego treść atakującemu, umożliwiając tym samym pełny odczyt odpowiedzi (full-read SSRF).
Atakujący może uzyskać nieautoryzowany dostęp do wewnętrznych zasobów sieciowych niedostępnych publicznie, eksfiltrować wrażliwe dane oraz ominąć mechanizmy segmentacji sieci i kontroli dostępu opartych na topologii.
Należy zaktualizować ZITADEL do wersji 4.7.1, w której problem został naprawiony. Patch dostępny jest w repozytorium GitHub projektu (commit 4c879b47334e01d4fcab921ac1b44eda39acdb96). Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu Login UI na poziomie firewall lub reverse proxy oraz monitorowanie nietypowych żądań wychodzących z serwera.
ZITADEL w wersjach 4.7.0 i niższych — dotyczy wszystkich wdrożeń, w tym instalacji self-hosted korzystających z ZITADEL Login UI V2.
Podatność nie wymaga uwierzytelnienia ani interakcji użytkownika (PR:N, UI:N) i ma zakres rozszerzony (S:C), co przekłada się na wynik CVSS 9.3 (CRITICAL). Poprawka została opublikowana 2025-12-09 wraz z ujawnieniem podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:NZitadel
APPZitadel4.0.0 – 4.7.1 (bez)
Powiązane podatności
XSS w Zitadel Login V2 — możliwe przejęcie konta przez /saml-post
IDOR w Zitadel Admin API umożliwia modyfikację wrażliwych ustawień
ZITADEL is an open source identity management platform. From 2.71.11 to before 3.4.10 and 4.15.0, a vulnerabil...
ZITADEL is an open source identity management platform. Prior to 3.4.8 and 4.12.2, a vulnerability in Zitadel'...
ZITADEL is an open source identity management platform. From 2.68.0 to before 3.4.8 and 4.12.2, Zitadel provid...