CVE-2024-28197

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-28197
Zitadel is an open source identity management system. Zitadel uses a cookie to identify the user agent (browser) and its user sessions. Although the cookie was handled according to best practices, it was accessible on subdomains of the ZITADEL instance. An attacker could take advantage of this and provide a malicious link hosted on the subdomain to the user to gain access to the victim’s account in certain scenarios. A possible victim would need to login through the malicious link for this exploit to work. If the possible victim already had the cookie present, the attack would not succeed. The attack would further only be possible if there was an initial vulnerability on the subdomain. This could either be the attacker being able to control DNS or a XSS vulnerability in an application hosted on a subdomain. Versions 2.46.0, 2.45.1, and 2.44.3 have been patched. Zitadel recommends upgrading to the latest versions available in due course. Note that applying the patch will invalidate the current cookie and thus users will need to start a new session and existing sessions (user selection) will be empty. For self-hosted environments unable to upgrade to a patched version, prevent setting the following cookie name on subdomains of your Zitadel instance (e.g. within your WAF): `__Secure-zitadel-useragent`.

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 1.2 / Impact : 5.8

Attack Vector ADJACENT_NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://github.com/zitadel/zitadel/security/advisories/GHSA-mq4x-r2w3-j7mr
Configurations

No configuration.

History

12 Mar 2024, 12:40

Type Values Removed Values Added
Summary
  • (es) Zitadel es un sistema de gestión de identidades de código abierto. Zitadel utiliza una cookie para identificar el agente de usuario (navegador) y sus sesiones de usuario. Aunque la cookie se manejó de acuerdo con las mejores prácticas, era accesible en los subdominios de la instancia ZITADEL. Un atacante podría aprovechar esto y proporcionar un enlace malicioso alojado en el subdominio al usuario para obtener acceso a la cuenta de la víctima en ciertos escenarios. Una posible víctima tendría que iniciar sesión a través del enlace malicioso para que este exploit funcione. Si la posible víctima ya tuviera presente la cookie, el ataque no tendría éxito. Además, el ataque solo sería posible si hubiera una vulnerabilidad inicial en el subdominio. Esto podría ser que el atacante pueda controlar DNS o una vulnerabilidad XSS en una aplicación alojada en un subdominio. Se han parcheado las versiones 2.46.0, 2.45.1 y 2.44.3. Zitadel recomienda actualizar a las últimas versiones disponibles oportunamente. Tenga en cuenta que la aplicación del parche invalidará la cookie actual y, por lo tanto, los usuarios deberán iniciar una nueva sesión y las sesiones existentes (selección de usuario) estarán vacías. Para entornos autohospedados que no pueden actualizar a una versión parcheada, evite configurar el siguiente nombre de cookie en los subdominios de su instancia de Zitadel (por ejemplo, dentro de su WAF): `__Secure-zitadel-useragent`.

11 Mar 2024, 20:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-03-11 20:15

Updated : 2024-03-12 12:40

NVD link : CVE-2024-28197

Mitre link : CVE-2024-28197

CVE.ORG link : CVE-2024-28197

JSON object : View

Products Affected

No product.

CWE
CWE-269

Improper Privilege Management