CVE-2025-67495 in Zitadelinformazioni

Riassunto

di VulDB • 15/06/2026

ZITADEL è uno strumento open-source per l'infrastruttura di identità. Le versioni dalla 4.0.0-rc.1 alla 4.7.0 sono vulnerabili a DOM-Based XSS tramite l'endpoint di logout V2 di Zitadel. L'endpoint /logout instrada in modo insicuro verso un valore fornito nel parametro GET post_logout_redirect. Di conseguenza, un attaccante remoto non autenticato può eseguire codice JavaScript dannoso nei browser degli utenti di Zitadel. Per portare a termine un attacco, è necessario che più sessioni utente siano attive nello stesso browser; tuttavia, il takeover dell'account viene mitigato quando si utilizza l'autenticazione Multi-Factor (MFA) o Passwordless. Questo problema è stato risolto nella versione 4.7.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

08/12/2025

Divulgazione

10/12/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00265

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!