エンタープライズ向けのセキュアな認証ワークフローに広く使用されているオープンソースのアイデンティティアクセス管理(IAM)プラットフォームであるZITADELで重大な脆弱性が発見されました。
CVE‑2026‑29191として追跡されているこの欠陥により、認証されていないリモート攻撃者がユーザーのブラウザ内で直接任意のJavaScriptコードを実行でき、わずか1回のクリックで、パスワードのリセットやシステム全体の侵害の可能性をもたらします。
GE Vernovaのセキュリティ研究者Amit Laishによって発見されたこのバグは、ZITADELバージョン4.0.0~4.11.1に影響し、ログインV2インターフェース、特に/saml-postエンドポイントに存在します。
SAML認証フローを処理するために設計されたこのエンドポイントは、デフォルト設定でクロスサイトスクリプティング(XSS)の脆弱性を意図せず導入しています。警戒すべきことに、SAML統合が有効でない場合でも、この欠陥は悪用可能です。
被害者がそのような細工されたリンクをクリックすると、ブラウザはアクティブなZITADELセッション内で注入されたスクリプトをすぐに実行します。
注入されたコードはログインユーザーと同じ権限で実行されるため、ユーザーに代わって任意のアクションを実行できます。
特に深刻なシナリオには、パスワードリセットリクエストをサイレントにトリガーすることが含まれ、正当なユーザーを実質的にアカウントからロックアウトします。
攻撃はメール、チャット経由で送信されたり、フィッシングページに埋め込まれたりする悪意のあるリンクへの単一クリックのみを必要とするため、1クリックのリモート侵害ベクトルを提示します。
さらに、/saml-postエンドポイントは、適切なHTMLエンコードなしに、ユーザー入力をレスポンスで反映します。
この出力反映は、保存された、または反射型XSS攻撃の悪用可能な領域を拡大する二次的な注入ポイントを生成します。
更新はまた、より厳しいパスワード変更検証を強制し、ユーザーは更新前に既存の認証情報を再入力する必要があります。
セキュリティチームは直ちにバージョン4.12.0以降にアップグレードすべきです。すぐにパッチを適用できない環境では、管理者は次のことを行う必要があります:
翻訳元: https://cyberpress.org/1-click-vulnerability-in-zitadel/