概要
ZITADEL の Login V2 UI に、セキュリティポリシーのバイパスが可能な脆弱性が存在します。管理者がセキュリティポリシーで自己登録やパスワードベースのログインを無効化していても、Login V2 UI を通じてこれらの機能を利用することが可能です。
この脆弱性により、組織のセキュリティポリシーが意図通りに適用されず、不正なアカウント作成や認証方式の迂回が行われるリスクがあります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.2 |
| 深刻度 | High |
| CWE | CWE-287 (認証不備) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| ZITADEL | ZITADEL | 4.12.0 未満 |
修正バージョンと回避策
- 修正バージョン: ZITADEL 4.12.0
- 暫定回避策: Login V2 UI の利用を制限し、Login V1 を使用する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。