Platform
go
Component
github.com/zitadel/zitadel
Opgelost in
4.0.1
4.12.0
CVE-2026-29191 beschrijft een kritieke Cross-Site Scripting (XSS) kwetsbaarheid in Zitadel, specifiek via de /saml-post endpoint. Deze kwetsbaarheid stelt aanvallers in staat om een account over te nemen. De kwetsbaarheid treft versies van Zitadel tussen v4.0.0 en v4.12.0. Een fix is beschikbaar in versie 4.12.0.
De impact van deze XSS-kwetsbaarheid is significant. Een succesvolle exploitatie kan leiden tot volledige accountovername, waarbij de aanvaller toegang krijgt tot gevoelige gegevens en functionaliteit binnen de applicatie. Dit kan inhouden dat de aanvaller gebruikersgegevens kan wijzigen, transacties kan uitvoeren of andere schadelijke acties kan ondernemen namens de gecompromitteerde gebruiker. De kwetsbaarheid in de /saml-post endpoint maakt het mogelijk om kwaadaardige scripts in te voegen die worden uitgevoerd wanneer een gebruiker de endpoint bezoekt, wat de accountovername vergemakkelijkt. Dit soort XSS-aanvallen kunnen ook worden gebruikt om andere gebruikers op de website te infecteren via cross-site scripting.
Op dit moment is er geen publieke exploitatie van deze kwetsbaarheid bekend, maar de kritieke ernst en de potentiële impact van accountovername maken het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is openbaar gemaakt op 2026-03-10. Het is raadzaam om de situatie te blijven monitoren en te anticiperen op mogelijke exploitatiepogingen. Er is geen vermelding op de CISA KEV catalogus.
Organizations utilizing Zitadel as their identity provider, particularly those relying on SAML-based authentication, are at risk. This includes businesses of all sizes, especially those with sensitive data or critical infrastructure managed through Zitadel. Shared hosting environments where multiple users share a single Zitadel instance are also particularly vulnerable.
• linux / server:
journalctl -u zitadel -f | grep -i 'saml-post' # Monitor for suspicious activity related to the SAML endpoint• generic web:
curl -I https://your-zitadel-instance/saml-post # Check response headers for unusual content or XSS indicatorsdisclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Zitadel versie 4.12.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan om inputvalidatie en output encoding te implementeren op de /saml-post endpoint. Dit kan helpen om de impact van de kwetsbaarheid te verminderen. Implementeer een Web Application Firewall (WAF) met regels die XSS-aanvallen detecteren en blokkeren. Controleer de configuratie van Zitadel om er zeker van te zijn dat alle relevante beveiligingsinstellingen zijn ingeschakeld. Na de upgrade, bevestig de fix door een testaanval uit te voeren op de /saml-post endpoint om te controleren of de kwetsbaarheid is verholpen.
Actualiseer ZITADEL naar versie 4.12.0 of hoger. Deze versie bevat de correctie voor de XSS-vulnerability in het /saml-post endpoint. De actualisatie zal het risico van een mogelijke account overname verminderen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-29191 is a critical Cross-Site Scripting (XSS) vulnerability in Zitadel's /saml-post endpoint, allowing potential account takeover.
Yes, if you are using Zitadel versions prior to 4.12.0, you are vulnerable to this XSS attack.
Upgrade Zitadel to version 4.12.0 or later to patch the vulnerability. Consider input validation as a temporary workaround.
While no public exploits are currently known, the ease of exploitation suggests a high probability of future exploitation.
Refer to the Zitadel security advisories on their official website or GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.