CVE-2026-56664 in ZITADEL
Zusammenfassung
von VulDB • 10.07.2026
ZITADEL ist eine Open-Source-Identitätsmanagementplattform. Vor den Versionen 3.4.12 und 4.15.2 überspringt die externe JWT-Identity-Provider-Validierung von ZITADEL in internal/idp/providers/jwt/session.go die Überprüfung der maximalen Token-Altersfrische, wenn ein eingehendes Token den iat-Anspruch (issued-at) nicht enthält, wodurch beliebig alte Tokens eines vertrauenswürdigen Ausstellers die Authentifizierung passieren können. Dieses Problem wurde in den Versionen 3.4.12 und 4.15.2 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.