CVE-2025-67495 in Zitadel
Résumé
par VulDB • 29/05/2026
ZITADEL est un outil d'infrastructure d'identité open-source. Les versions 4.0.0-rc.1 à 4.7.0 sont vulnérables à une XSS basée sur le DOM (DOM-Based XSS) via le point de terminaison de déconnexion Zitadel V2. Le point de terminaison /logout redirige de manière non sécurisée vers une valeur fournie dans le paramètre GET post_logout_redirect. Par conséquent, un attaquant distant non authentifié peut exécuter du code JS malveillant dans les navigateurs des utilisateurs de Zitadel. Pour mener une attaque, plusieurs sessions utilisateur doivent être actives dans le même navigateur ; toutefois, la prise de contrôle de compte est atténuée lors de l'utilisation de l'authentification multifacteur (MFA) ou de l'authentification sans mot de passe. Ce problème est corrigé dans la version 4.7.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.