Zitadel 用户注册绕过漏洞 (CVE-2024-49757)

admin
admin
admin
0
文章
0
评论
2024-10-28 15:07:18 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Zitadel 用户注册绕过漏洞 (CVE-2024-49757)

CVE编号

CVE-2024-49757

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-25
漏洞描述
开源身份基础设施软件 Zitadel 允许管理员禁用用户自我注册功能。在 2.64.0、2.63.5、2.62.7、2.61.4、2.60.4、2.59.5 和 2.58.7 等版本中存在一个缺失的安全检查,禁用“允许用户注册”选项仅会隐藏登录页面上的注册按钮。用户可以绕过此限制,通过直接访问注册网址(/ui/login/loginname)来注册用户。版本 2.64.0、2.63.5、2.62.7、2.61.4、2.60.4、2.59.5 和 2.58.7 已包含补丁。目前尚无已知的解决方案可用。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/zitadel/zitadel/releases/tag/v2.58.7
https://github.com/zitadel/zitadel/releases/tag/v2.59.5
https://github.com/zitadel/zitadel/releases/tag/v2.60.4
https://github.com/zitadel/zitadel/releases/tag/v2.61.4
https://github.com/zitadel/zitadel/releases/tag/v2.62.7
https://github.com/zitadel/zitadel/releases/tag/v2.63.5
https://github.com/zitadel/zitadel/releases/tag/v2.64.0
https://github.com/zitadel/zitadel/security/advisories/GHSA-3rmw-76m6-4gjc
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-287 认证机制不恰当
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-48428利用情况 暂无补丁情况 N/A披露时间 2024-10-25漏洞描述An issue in Olive VLE
10-280 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2022-30354利用情况 暂无补丁情况 N/A披露时间 2024-10-26漏洞描述OvalEdge 5.2.8.0及以下版本
10-280 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0