ZITADEL — это платформа управления идентификацией с открытым исходным кодом. Zitadel Action V2 (представленный в ранней предварительной версии в версии 2.59.0, бета-версии в версии 3.0.0 и общедоступной версии в версии 4.0.0) — это подход на основе веб-перехватчиков, позволяющий разработчикам действовать по запросу API к Zitadel и настраивать потоки, такие как выпуск токена. Целевые URL-адреса действий Zitadel могут указывать на локальные хосты, что потенциально позволяет злоумышленникам собирать информацию о внутренней сети и подключаться к внутренним службам.
Когда URL-адрес указывает на локальный хост/IP-адрес, злоумышленник может собрать информацию о структуре внутренней сети, службах, предоставляемых на внутренних хостах, и т. д. Иногда это называется подделкой запроса на стороне сервера (SSRF). Zitadel Actions ожидает ответов по конкретным схемам, что снижает вектор угроз.
Исправление в версии 4.11.1 решает проблему, проверяя целевой URL-адрес на наличие списка запрещенных. По умолчанию localhost, соответственно. IP-адреса обратной связи запрещены.
Обратите внимание, что это исправление было выпущено только в версии 4.x. Из-за стадии (предварительная/бета-версия), на которой функциональность находилась в версиях v2.x и v3.x, изменений, которые были применены к ней с тех пор, и серьезности, соответственно фактического вектора потока, обратный порт на соответствующие версии был невозможен. Если обновление до версии 4.x невозможно, ознакомьтесь с разделом обходных решений, чтобы найти альтернативные решения.
Если обновление невозможно, предотвратите действия по использованию непредусмотренных конечных точек, установив сетевые политики или правила брандмауэра в собственной инфраструктуре. Обратите внимание, что это выходит за рамки функциональности, предоставляемой Zitadel.
Показать оригинальное описание (EN)
ZITADEL is an open source identity management platform. Zitadel Action V2 (introduced as early preview in 2.59.0, beta in 3.0.0 and GA in 4.0.0) is a webhook based approach to allow developers act on API request to Zitadel and customize flows such the issue of a token. Zitadel's Action target URLs can point to local hosts, potentially allowing adversaries to gather internal network information and connect to internal services. When the URL points to a local host / IP address, an adversary might gather information about the internal network structure, the services exposed on internal hosts etc. This is sometimes called a Server-Side Request Forgery (SSRF). Zitadel Actions expect responses according to specific schemas, which reduces the threat vector. The patch in version 4.11.1 resolves the issue by checking the target URL against a denylist. By default localhost, resp. loopback IPs are denied. Note that this fix was only released on v4.x. Due to the stage (preview / beta) in which the functionality was in v2.x and v3.x, the changes that have been applied to it since then and the severity, respectively the actual thread vector, a backport to the corresponding versions was not feasible. Please check the workaround section for alternative solutions if an upgrade to v4.x is not possible. If an upgrade is not possible, prevent actions from using unintended endpoints by setting network policies or firewall rules in one's own infrastructure. Note that this is outside of the functionality provided by Zitadel.
Характеристики атаки
Последствия
Строка CVSS v4.0