概要
ZITADEL は オープンソース の アイデンティティ管理 プラットフォーム です。Login V2 に おいて、デフォルト URI の リダイレクト 処理 に クロスサイトスクリプティング(XSS)の 脆弱性 が 存在 します。CWE-79 に 分類 されます。
この 脆弱性 に より、攻撃者 は 特別 に 細工 された URI を 利用 して 被害者 の ブラウザ 上 で 任意 の JavaScript を 実行 し、セッション トークン の 窃取 に よる アカウント 乗っ取り が 可能 です。Login V2 を 使用 して いる ZITADEL 環境 全体 が 影響 を 受けます。
ZITADEL を 認証 基盤 として 使用 して いる 環境 で は、速やか に 修正版 へ の アップデート を 推奨 します。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.7 |
| 深刻度 | High |
| CWE | CWE-79 (クロスサイトスクリプティング) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| ZITADEL | ZITADEL | 修正前バージョン |
修正バージョンと回避策
- 修正バージョン: ZITADEL の 最新バージョン へ の アップデート
- 暫定回避策: Login V1 へ の フォールバック、WAF に よる XSS フィルタリング の 強化
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。