概要
ZITADEL は オープンソース の アイデンティティ管理 プラットフォーム です。パスワード リセット 機能 に おいて、Host ヘッダー または X-Forwarded-Host ヘッダー の 検証 が 不十分 な ため、オープンリダイレクト の 脆弱性 が 存在 します。
CWE-601(オープンリダイレクト)に 分類 される この 脆弱性 に より、攻撃者 は パスワード リセット の リンク を 改ざん し、ユーザー を 悪意 の ある サイト に リダイレクト させる こと が 可能 です。これ に より、パスワード リセット トークン の 窃取 や フィッシング 攻撃 に 悪用 される 恐れ が あります。
ZITADEL を 認証 基盤 として 使用 して いる 環境 で は、速やか に 修正版 へ の アップデート を 推奨 します。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 |
| 深刻度 | High |
| CWE | CWE-601 (オープンリダイレクト) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| ZITADEL | ZITADEL | 修正前バージョン |
修正バージョンと回避策
- 修正バージョン: ZITADEL の 最新バージョン へ の アップデート
- 暫定回避策: リバースプロキシ に て Host / X-Forwarded-Host ヘッダー を 固定値 に 上書き する 設定 の 適用
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。