概要
ZITADEL は オープンソース の アイデンティティ管理 プラットフォーム です。バージョン 4.12.0 より 前 の ZITADEL に おいて、Login V2 の /saml-post エンドポイント に クロスサイトスクリプティング(XSS)の 脆弱性 が 存在 します。
この 脆弱性 に より、攻撃者 は 特別 に 細工 された SAML レスポンス を 利用 して 被害者 の ブラウザ 上 で 任意 の JavaScript を 実行 し、セッション トークン の 窃取 に よる アカウント 乗っ取り を 実行 できます。CWE-79(クロスサイトスクリプティング)に 分類 され、認証 基盤 として ZITADEL を 使用 して いる 環境 全体 に 影響 が 及ぶ 可能性 が あります。
SAML 認証 を 使用 して いる ZITADEL 環境 で は、速やか に バージョン 4.12.0 以降 へ の アップデート が 必要 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.3 |
| 深刻度 | Critical |
| CWE | CWE-79 (クロスサイトスクリプティング) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| ZITADEL | ZITADEL | 4.12.0 より前 |
修正バージョンと回避策
- 修正バージョン: ZITADEL 4.12.0 以降 へ の アップデート
- 暫定回避策: SAML 認証 の 一時的 な 無効化、または Login V1 へ の フォールバック。WAF に よる XSS フィルタリング の 強化
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。