ZITADEL — это платформа управления идентификацией с открытым исходным кодом. До версий 4.11.1 и 3.4.7 уязвимость в возможности самоуправления Zitadel позволяла пользователям помечать свою электронную почту и телефон как проверенные, не проходя фактического процесса проверки. Исправление в версиях 4.11.1 и 3.4.7 решает проблему, требуя правильного разрешения в случае, если предоставлен флаг проверки, и позволяет только самостоятельно управлять адресом электронной почты и/или номером телефона.
Если обновление невозможно, можно использовать действие (v2), чтобы предотвратить установку флага проверки для собственного пользователя.
Показать оригинальное описание (EN)
ZITADEL is an open source identity management platform. Prior to versions 4.11.1 and 3.4.7, a vulnerability in Zitadel's self-management capability allowed users to mark their email and phone as verified without going through an actual verification process. The patch in versions 4.11.1 and 3.4.7 resolves the issue by requiring the correct permission in case the verification flag is provided and only allows self-management of the email address and/or phone number itself. If an upgrade is not possible, an action (v2) could be used to prevent setting the verification flag on the own user.
Характеристики атаки
Последствия
Строка CVSS v4.0