CVE-2025-67495 in Zitadelinformation

Résumé

par VulDB • 29/05/2026

ZITADEL est un outil d'infrastructure d'identité open-source. Les versions 4.0.0-rc.1 à 4.7.0 sont vulnérables à une XSS basée sur le DOM (DOM-Based XSS) via le point de terminaison de déconnexion Zitadel V2. Le point de terminaison /logout redirige de manière non sécurisée vers une valeur fournie dans le paramètre GET post_logout_redirect. Par conséquent, un attaquant distant non authentifié peut exécuter du code JS malveillant dans les navigateurs des utilisateurs de Zitadel. Pour mener une attaque, plusieurs sessions utilisateur doivent être actives dans le même navigateur ; toutefois, la prise de contrôle de compte est atténuée lors de l'utilisation de l'authentification multifacteur (MFA) ou de l'authentification sans mot de passe. Ce problème est corrigé dans la version 4.7.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

08/12/2025

Divulgation

10/12/2025

Modérer

accepté

Entrée

VDB-335556

CPE

prêt

EPSS

0.00265

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!