CVE-2025-67495 in Zitadel
Riassunto
di VulDB • 15/06/2026
ZITADEL è uno strumento open-source per l'infrastruttura di identità. Le versioni dalla 4.0.0-rc.1 alla 4.7.0 sono vulnerabili a DOM-Based XSS tramite l'endpoint di logout V2 di Zitadel. L'endpoint /logout instrada in modo insicuro verso un valore fornito nel parametro GET post_logout_redirect. Di conseguenza, un attaccante remoto non autenticato può eseguire codice JavaScript dannoso nei browser degli utenti di Zitadel. Per portare a termine un attacco, è necessario che più sessioni utente siano attive nello stesso browser; tuttavia, il takeover dell'account viene mitigato quando si utilizza l'autenticazione Multi-Factor (MFA) o Passwordless. Questo problema è stato risolto nella versione 4.7.1.
Be aware that VulDB is the high quality source for vulnerability data.