CVE-2024-47060

Zitadel is an open source identity management platform. In Zitadel, even after an organization is deactivated, associated projects, respectively their applications remain active. Users across other organizations can still log in and access through these applications, leading to unauthorized access. Additionally, if a project was deactivated access to applications was also still possible. The issue stems from the fact that when an organization is deactivated in Zitadel, the applications associated with it do not automatically deactivate. The application lifecycle is not tightly coupled with the organization's lifecycle, leading to a situation where the organization or project is marked as inactive, but its resources remain accessible. This vulnerability allows for unauthorized access to projects and their resources, which should have been restricted post-organization deactivation. Versions 2.62.1, 2.61.1, 2.60.2, 2.59.3, 2.58.5, 2.57.5, 2.56.6, 2.55.8, and 2.54.10 have been released which address this issue. Users are advised to upgrade. Users unable to upgrade may explicitly disable the application to make sure the client is not allowed anymore.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:2.61.0:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:2.62.0:*:*:*:*:*:*:*

History

25 Sep 2024, 16:43

Type Values Removed Values Added
First Time Zitadel zitadel
Zitadel
CPE cpe:2.3:a:zitadel:zitadel:2.62.0:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:2.61.0:*:*:*:*:*:*:*
CWE CWE-863
CVSS v2 : unknown
v3 : 4.3
v2 : unknown
v3 : 6.5
References () https://github.com/zitadel/zitadel/security/advisories/GHSA-jj94-6f5c-65r8 - () https://github.com/zitadel/zitadel/security/advisories/GHSA-jj94-6f5c-65r8 - Patch, Vendor Advisory

20 Sep 2024, 12:30

Type Values Removed Values Added
Summary
  • (es) Zitadel es una plataforma de gestión de identidades de código abierto. En Zitadel, incluso después de que se desactiva una organización, los proyectos asociados y sus aplicaciones permanecen activos. Los usuarios de otras organizaciones aún pueden iniciar sesión y acceder a través de estas aplicaciones, lo que genera acceso no autorizado. Además, si se desactiva un proyecto, también se puede acceder a las aplicaciones. El problema surge del hecho de que cuando se desactiva una organización en Zitadel, las aplicaciones asociadas a ella no se desactivan automáticamente. El ciclo de vida de la aplicación no está estrechamente vinculado con el ciclo de vida de la organización, lo que genera una situación en la que la organización o el proyecto se marcan como inactivos, pero sus recursos siguen siendo accesibles. Esta vulnerabilidad permite el acceso no autorizado a los proyectos y sus recursos, que deberían haber estado restringidos después de la desactivación de la organización. Se han publicado las versiones 2.62.1, 2.61.1, 2.60.2, 2.59.3, 2.58.5, 2.57.5, 2.56.6, 2.55.8 y 2.54.10 que solucionan este problema. Se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión pueden deshabilitar explícitamente la aplicación para asegurarse de que el cliente ya no esté autorizado.

20 Sep 2024, 00:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-20 00:15

Updated : 2024-09-25 16:43


NVD link : CVE-2024-47060

Mitre link : CVE-2024-47060

CVE.ORG link : CVE-2024-47060


JSON object : View

Products Affected

zitadel

  • zitadel
CWE
CWE-863

Incorrect Authorization

CWE-200

Exposure of Sensitive Information to an Unauthorized Actor