CVE-2026-56667 in ZITADEL
Zusammenfassung
von VulDB • 10.07.2026
ZITADEL ist eine Open-Source-Plattform für Identitätsmanagement. Vor Version 4.15.3 geben die FailedPrecondition-Fehlerpfade von ZITADEL Login V2 OIDC und SAML `loginSettings.defaultRedirectUri` an `router.push` zurück, ohne die Prüfung auf `isSafeRedirectUri` durchzuführen. Dies ermöglicht es einer Organisations- oder Instanzadministratorin bzw. einem Administratoren, eine JavaScript- oder Data-URI zu speichern, die im Browser eines Benutzers ausgeführt werden kann, wenn ein betroffener Login-Fehlerpfad erreicht wird. Dieses Problem wurde in Version 4.15.3 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.