Plataforma
go
Componente
github.com/zitadel/zitadel
Corregido en
2.59.1
4.11.1
1.80.0-v2.20.0.20260225053328-b2532e966621
La vulnerabilidad CVE-2026-27945 representa una falla de tipo SSRF (Server-Side Request Forgery) identificada en Zitadel, un componente de GitHub (github.com/zitadel/zitadel). Esta falla permite a un atacante, bajo ciertas circunstancias, realizar solicitudes a recursos internos o externos a través del servidor, potencialmente exponiendo información sensible o permitiendo acciones no autorizadas. Las versiones afectadas incluyen aquellas desde v2.59.0 hasta v4.11.1. Se recomienda actualizar a la versión corregida 1.80.0-v2.20.0.20260225053328-b2532e966621.
Un atacante que explote esta vulnerabilidad SSRF podría utilizar Zitadel como un proxy para acceder a recursos internos que normalmente no serían accesibles desde el exterior. Esto podría incluir la lectura de archivos de configuración confidenciales, la interacción con otros servicios internos sin la debida autenticación, o incluso la ejecución de acciones en nombre del servidor. El alcance del impacto dependerá de los permisos y privilegios que Zitadel tenga dentro de la infraestructura. La capacidad de realizar solicitudes arbitrarias a través del servidor abre la puerta a diversas técnicas de reconocimiento y explotación, incluyendo la recopilación de información sobre la topología de la red interna y la identificación de otros servicios vulnerables. Aunque la severidad es clasificada como baja, el potencial de abuso y la facilidad de explotación hacen de esta vulnerabilidad un riesgo significativo.
La vulnerabilidad CVE-2026-27945 fue publicada el 10 de marzo de 2026. No se ha reportado su inclusión en el KEV (Known Exploited Vulnerabilities) de CISA al momento de la publicación. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de las vulnerabilidades SSRF las hace susceptibles a la explotación una vez que se divulga información detallada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad.
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
La mitigación principal para CVE-2026-27945 es actualizar Zitadel a la versión 1.80.0-v2.20.0.20260225053328-b2532e966621 o superior. Si la actualización directa no es posible debido a problemas de compatibilidad, se recomienda evaluar la posibilidad de implementar reglas de firewall o proxies inversos para restringir las solicitudes salientes de Zitadel a dominios y puertos específicos. Además, se debe revisar la configuración de Zitadel para asegurar que no se estén utilizando configuraciones predeterminadas que puedan facilitar la explotación de la vulnerabilidad. Después de la actualización, verifique la correcta funcionalidad de Zitadel y confirme que las solicitudes salientes están siendo correctamente restringidas.
Actualice ZITADEL a la versión 4.11.1 o superior. Si no es posible actualizar, configure políticas de red o reglas de firewall para evitar que las acciones utilicen endpoints no deseados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27945 is a Server-Side Request Forgery (SSRF) vulnerability in Zitadel, affecting versions before 4.11.1. It allows attackers to potentially trigger server-side requests, leading to information disclosure.
You are affected if you are using Zitadel versions prior to 4.11.1. Check your Zitadel version and upgrade immediately if vulnerable.
Upgrade Zitadel to version 4.11.1 or later. As a temporary workaround, restrict outbound network access using a WAF or proxy.
No active exploitation campaigns are currently known, and no public POC code has been released.
Refer to the Zitadel project's official advisory for the most up-to-date information and details regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.