Plataforma
go
Componente
github.com/zitadel/zitadel
Corregido en
1.80.1
1.83.5
4.0.1
1.80.0-v2.20.0.20251208091519-4c879b47334e
La vulnerabilidad CVE-2025-67494 representa una falla de SSRF (Server-Side Request Forgery) en el componente Zitadel, específicamente en la implementación github.com/zitadel/zitadel. Esta falla permite a un atacante, sin autenticación, realizar solicitudes a través del servidor, potencialmente accediendo a recursos internos y sensibles. Las versiones afectadas son aquellas anteriores a v4.7.1. Se recomienda actualizar a la versión 1.80.0-v2.20.0.20251208091519-4c879b47334e para corregir esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad SSRF puede leer datos confidenciales almacenados en el servidor o en recursos a los que el servidor tiene acceso. Esto podría incluir información de configuración, claves de API, datos de usuarios o cualquier otro recurso accesible a través de solicitudes HTTP. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el radio de impacto, permitiendo a atacantes no autenticados comprometer la seguridad del sistema. La capacidad de realizar solicitudes arbitrarias también podría ser utilizada para realizar ataques de denegación de servicio (DoS) o para escanear la red interna en busca de otros sistemas vulnerables, facilitando el movimiento lateral dentro de la infraestructura.
La vulnerabilidad CVE-2025-67494 fue publicada el 15 de diciembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la severidad CRÍTICA y la falta de autenticación necesaria para su explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing Zitadel as their authentication server, particularly those with exposed instances or those running older versions (prior to 4.7.1), are at significant risk. Shared hosting environments where multiple users share a single Zitadel instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire instance.
• linux / server:
journalctl -u zitadel -f | grep -i "Server-Side Request Forgery"• generic web:
curl -I <zitadel_url>/internal_endpoint # Check for unexpected responses• generic web:
grep -r "internal_url" /etc/zitadel/config.yml # Check for exposed internal URLs in configdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-67494 es actualizar Zitadel a la versión 1.80.0-v2.20.0.20251208091519-4c879b47334e o superior. Si la actualización causa problemas de compatibilidad, considere implementar una solución temporal restringiendo el acceso a la API de login V2. Implementar reglas en un firewall de aplicaciones web (WAF) o un proxy inverso para bloquear solicitudes sospechosas que intenten acceder a recursos internos podría proporcionar una capa adicional de protección. Monitorear los logs del servidor en busca de patrones de tráfico inusuales o solicitudes a recursos internos no autorizados puede ayudar a detectar intentos de explotación.
Actualice ZITADEL a la versión 4.7.1 o superior. Esta versión corrige la vulnerabilidad SSRF que permite a atacantes no autenticados realizar solicitudes HTTP a dominios arbitrarios desde el servidor. La actualización previene la exfiltración de datos y el bypass de controles de segmentación de red.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67494 is a critical SSRF vulnerability in Zitadel allowing unauthenticated attackers to read internal resources. It affects versions before 4.7.1 and requires immediate attention.
If you are running Zitadel versions prior to 4.7.1, you are vulnerable. Check your version and upgrade as soon as possible.
Upgrade Zitadel to version 1.80.0-v2.20.0.20251208091519-4c879b47334e or later. Consider temporary workarounds if immediate upgrade is not possible.
While no active campaigns are confirmed, the vulnerability's severity and ease of exploitation suggest it is a potential target.
Refer to the Zitadel security advisory for detailed information and updates: [https://github.com/zitadel/zitadel/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.