Plateforme
go
Composant
github.com/zitadel/zitadel
Corrigé dans
1.80.1
1.83.5
4.0.1
1.80.0-v2.20.0.20251208091519-4c879b47334e
La vulnérabilité CVE-2025-67494 est une faille de type SSRF (Server-Side Request Forgery) critique découverte dans le projet Zitadel, une solution d'authentification open-source. Cette faille permet à un attaquant non authentifié d'effectuer des requêtes arbitraires vers des ressources internes, potentiellement exposant des informations sensibles. Les versions affectées sont celles antérieures à la version 4.7.1. Une correction a été déployée dans la version 1.80.0-v2.20.0.20251208091519-4c879b47334e.
L'impact de cette vulnérabilité est significatif. Un attaquant exploitant cette faille SSRF peut lire des données sensibles stockées en interne, contournant potentiellement les mécanismes d'authentification. Cela pourrait inclure des informations d'identification, des clés API, des données de configuration, ou d'autres informations confidentielles. L'attaquant pourrait également utiliser Zitadel comme pivot pour accéder à d'autres systèmes internes, élargissant ainsi la surface d'attaque. Bien que l'attaquant ne soit pas authentifié, la capacité à effectuer des requêtes arbitraires représente un risque majeur pour la confidentialité et l'intégrité des données.
La vulnérabilité CVE-2025-67494 a été rendue publique le 15 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, compte tenu de la simplicité d'exploitation des failles SSRF. Il est donc crucial de mettre en œuvre les mesures de mitigation dès que possible.
Organizations utilizing Zitadel as their authentication server, particularly those with exposed instances or those running older versions (prior to 4.7.1), are at significant risk. Shared hosting environments where multiple users share a single Zitadel instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire instance.
• linux / server:
journalctl -u zitadel -f | grep -i "Server-Side Request Forgery"• generic web:
curl -I <zitadel_url>/internal_endpoint # Check for unexpected responses• generic web:
grep -r "internal_url" /etc/zitadel/config.yml # Check for exposed internal URLs in configdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Zitadel vers la version corrigée, 1.80.0-v2.20.0.20251208091519-4c879b47334e. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes. Il est également recommandé de limiter l'accès réseau à l'instance Zitadel et de surveiller attentivement les journaux d'accès pour détecter toute activité anormale. En cas de doute, une analyse de la configuration de Zitadel peut aider à identifier d'éventuelles faiblesses.
Mettez à jour ZITADEL à la version 4.7.1 ou supérieure. Cette version corrige la vulnérabilité SSRF qui permet aux attaquants non authentifiés d'effectuer des requêtes HTTP vers des domaines arbitraires depuis le serveur. La mise à jour prévient la fuite de données et le contournement des contrôles de segmentation réseau.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67494 is a critical SSRF vulnerability in Zitadel allowing unauthenticated attackers to read internal resources. It affects versions before 4.7.1 and requires immediate attention.
If you are running Zitadel versions prior to 4.7.1, you are vulnerable. Check your version and upgrade as soon as possible.
Upgrade Zitadel to version 1.80.0-v2.20.0.20251208091519-4c879b47334e or later. Consider temporary workarounds if immediate upgrade is not possible.
While no active campaigns are confirmed, the vulnerability's severity and ease of exploitation suggest it is a potential target.
Refer to the Zitadel security advisory for detailed information and updates: [https://github.com/zitadel/zitadel/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.