Описание
Zitadel is open-source identity infrastructure software. A vulnerability existed where expired keys can be used to retrieve tokens. Specifically, ZITADEL fails to properly check the expiration date of the JWT key when used for Authorization Grants. This allows an attacker with an expired key to obtain valid access tokens. This vulnerability does not affect the use of JWT Profile for OAuth 2.0 Client Authentication on the Token and Introspection endpoints, which correctly reject expired keys. This vulnerability is fixed in 2.71.6, 2.70.8, 2.69.9, 2.68.9, 2.67.13, 2.66.16, 2.65.7, 2.64.6, and 2.63.9.
Ссылки
- Patch
- Release Notes
- Release Notes
- Release Notes
- Release Notes
- Release Notes
- Release Notes
- Release Notes
- Release Notes
- Release Notes
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 2.62.0 (включая) до 2.63.9 (исключая)Версия от 2.64.0 (включая) до 2.64.6 (исключая)Версия от 2.65.0 (включая) до 2.65.7 (исключая)Версия от 2.66.0 (включая) до 2.66.16 (исключая)Версия от 2.67.0 (включая) до 2.67.13 (исключая)Версия от 2.68.0 (включая) до 2.68.9 (исключая)Версия от 2.69.0 (включая) до 2.69.9 (исключая)Версия от 2.70.0 (включая) до 2.70.8 (исключая)Версия от 2.71.0 (включая) до 2.71.6 (исключая)
Одно из
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
EPSS
Процентиль: 56%
0.00331
Низкий
8.7 High
CVSS3
Дефекты
CWE-324
EPSS
Процентиль: 56%
0.00331
Низкий
8.7 High
CVSS3
Дефекты
CWE-324