Plataforma
go
Componente
github.com/zitadel/zitadel
Corrigido em
1.80.1
1.83.5
4.0.1
1.80.0-v2.20.0.20251208091519-4c879b47334e
A vulnerabilidade CVE-2025-67494 é uma falha de SSRF (Server-Side Request Forgery) descoberta no componente github.com/zitadel/zitadel. Essa falha permite que um atacante realize leituras completas não autenticadas, comprometendo a confidencialidade dos dados. As versões afetadas incluem aquelas anteriores a v4.7.1. A correção foi disponibilizada na versão 1.80.0-v2.20.0.20251208091519-4c879b47334e.
Um atacante explorando essa vulnerabilidade pode realizar solicitações para qualquer recurso acessível pelo servidor Zitadel, sem a necessidade de autenticação. Isso permite a leitura de arquivos sensíveis, dados de configuração e outras informações confidenciais que o servidor possa acessar. O impacto é significativo, pois a falta de autenticação torna a exploração trivial e o potencial de dano é alto. A vulnerabilidade pode ser utilizada para obter informações sobre a infraestrutura interna, realizar ataques de escalonamento de privilégios ou até mesmo comprometer outros sistemas conectados ao Zitadel.
A vulnerabilidade CVE-2025-67494 foi divulgada em 15 de dezembro de 2025. Não há informações disponíveis sobre a inclusão em KEV ou a existência de exploits públicos. A pontuação de severidade CVSS de 9.3 indica um alto risco de exploração, e a falta de autenticação necessária torna a exploração relativamente simples.
Organizations utilizing Zitadel as their authentication server, particularly those with exposed instances or those running older versions (prior to 4.7.1), are at significant risk. Shared hosting environments where multiple users share a single Zitadel instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire instance.
• linux / server:
journalctl -u zitadel -f | grep -i "Server-Side Request Forgery"• generic web:
curl -I <zitadel_url>/internal_endpoint # Check for unexpected responses• generic web:
grep -r "internal_url" /etc/zitadel/config.yml # Check for exposed internal URLs in configdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-67494 é a atualização imediata para a versão corrigida, 1.80.0-v2.20.0.20251208091519-4c879b47334e. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar regras de firewall ou proxy para restringir o acesso externo aos endpoints vulneráveis. Monitore os logs do Zitadel em busca de solicitações suspeitas originadas de fontes não confiáveis. Implementar um WAF (Web Application Firewall) pode ajudar a bloquear solicitações maliciosas. Após a atualização, confirme a correção verificando os logs do sistema e realizando testes de penetração para garantir que a vulnerabilidade foi efetivamente eliminada.
Atualize ZITADEL para a versão 4.7.1 ou superior. Esta versão corrige a vulnerabilidade SSRF que permite a atacantes não autenticados realizar requisições HTTP para domínios arbitrários a partir do servidor. A atualização previne a exfiltração de dados e o bypass de controles de segmentação de rede.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-67494 is a critical SSRF vulnerability in Zitadel allowing unauthenticated attackers to read internal resources. It affects versions before 4.7.1 and requires immediate attention.
If you are running Zitadel versions prior to 4.7.1, you are vulnerable. Check your version and upgrade as soon as possible.
Upgrade Zitadel to version 1.80.0-v2.20.0.20251208091519-4c879b47334e or later. Consider temporary workarounds if immediate upgrade is not possible.
While no active campaigns are confirmed, the vulnerability's severity and ease of exploitation suggest it is a potential target.
Refer to the Zitadel security advisory for detailed information and updates: [https://github.com/zitadel/zitadel/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.