Platform
go
Component
github.com/zitadel/zitadel
Opgelost in
1.80.1
1.83.5
4.0.1
1.80.0-v2.20.0.20251208091519-4c879b47334e
CVE-2025-67494 beschrijft een ernstige Server-Side Request Forgery (SSRF) kwetsbaarheid in Zitadel, een open-source Identity Provider. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerd volledige leesrechten te verkrijgen via de V2 login functionaliteit. De kwetsbaarheid treft versies van Zitadel vóór 4.7.1. Een upgrade naar de beveiligde versie 1.80.0-v2.20.0.20251208091519-4c879b47334e is vereist om de kwetsbaarheid te verhelpen.
De SSRF-kwetsbaarheid in Zitadel kan aanzienlijke gevolgen hebben. Een succesvolle exploitatie stelt een aanvaller in staat om interne bronnen en services te benaderen die normaal gesproken niet toegankelijk zijn vanaf het publieke internet. Dit kan leiden tot data-exfiltratie, configuratie-wijzigingen en mogelijk zelfs tot het verkrijgen van controle over de onderliggende infrastructuur. De mogelijkheid om ongeautoriseerd volledige leesrechten te verkrijgen via de V2 login, maakt deze kwetsbaarheid bijzonder gevaarlijk, omdat het de drempel voor exploitatie verlaagt. Het is vergelijkbaar met SSRF-aanvallen die in andere Identity Providers zijn waargenomen, waarbij interne API's en databases worden blootgesteld.
Op dit moment is er geen publieke exploitatie van CVE-2025-67494 bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV), wat duidt op een verhoogde waarschijnlijkheid van exploitatie. Er zijn geen openbare Proof-of-Concept (PoC) codes beschikbaar. De publicatiedatum van de kwetsbaarheid is 2025-12-15, wat suggereert dat de kwetsbaarheid relatief recent is ontdekt.
Organizations utilizing Zitadel as their authentication server, particularly those with exposed instances or those running older versions (prior to 4.7.1), are at significant risk. Shared hosting environments where multiple users share a single Zitadel instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire instance.
• linux / server:
journalctl -u zitadel -f | grep -i "Server-Side Request Forgery"• generic web:
curl -I <zitadel_url>/internal_endpoint # Check for unexpected responses• generic web:
grep -r "internal_url" /etc/zitadel/config.yml # Check for exposed internal URLs in configdisclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-67494 is het upgraden van Zitadel naar versie 1.80.0-v2.20.0.20251208091519-4c879b47334e of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de V2 login functionaliteit via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verzoeken met ongebruikelijke of potentieel schadelijke URL's te blokkeren. Controleer de Zitadel configuratie op onnodige open poorten en diensten. Na de upgrade, bevestig de correcte werking door te proberen de V2 login te benaderen met een testaccount en te controleren of de toegang wordt geweigerd.
Werk ZITADEL bij naar versie 4.7.1 of hoger. Deze versie corrigeert de SSRF-kwetsbaarheid die aanvallers zonder authenticatie in staat stelt om HTTP-verzoeken naar willekeurige domeinen vanaf de server te doen. De update voorkomt datagegevens en omzeilt netwerksegmentatiecontroles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-67494 is a critical SSRF vulnerability in Zitadel allowing unauthenticated attackers to read internal resources. It affects versions before 4.7.1 and requires immediate attention.
If you are running Zitadel versions prior to 4.7.1, you are vulnerable. Check your version and upgrade as soon as possible.
Upgrade Zitadel to version 1.80.0-v2.20.0.20251208091519-4c879b47334e or later. Consider temporary workarounds if immediate upgrade is not possible.
While no active campaigns are confirmed, the vulnerability's severity and ease of exploitation suggest it is a potential target.
Refer to the Zitadel security advisory for detailed information and updates: [https://github.com/zitadel/zitadel/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.