Plataforma
go
Componente
github.com/zitadel/zitadel
Corrigido em
4.0.1
4.12.0
A vulnerabilidade CVE-2026-29191 é uma falha de Cross-Site Scripting (XSS) descoberta em Zitadel, um componente Go (github.com/zitadel/zitadel). Essa falha permite a tomada de conta de contas com um único clique, explorando o endpoint /saml-post. As versões afetadas incluem aquelas entre 4.0.0 e 4.12.0. A correção foi disponibilizada na versão 4.12.0.
Um atacante pode explorar essa vulnerabilidade para injetar scripts maliciosos no endpoint /saml-post do Zitadel. Ao fazer isso, o atacante pode enganar um usuário legítimo para que clique em um link malicioso ou execute um script, resultando na tomada de conta. A gravidade da vulnerabilidade reside na facilidade de exploração – um único clique pode comprometer a conta de um usuário. O impacto potencial inclui roubo de dados confidenciais, acesso não autorizado a recursos e a possibilidade de o atacante usar a conta comprometida para realizar ataques adicionais dentro da infraestrutura. Embora não haja relatos públicos de exploração ativa, a facilidade de exploração e o impacto potencial tornam esta vulnerabilidade uma prioridade alta para correção.
A vulnerabilidade foi divulgada em 2026-03-10. Atualmente, não há relatos de exploração ativa em campanhas direcionadas. A vulnerabilidade foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA, indicando uma probabilidade de exploração. A existência de um endpoint de SAML, frequentemente utilizado para Single Sign-On (SSO), aumenta o risco, pois a exploração pode impactar múltiplos sistemas e aplicações que dependem do SSO.
Organizations utilizing Zitadel as their identity provider, particularly those relying on SAML-based authentication, are at risk. This includes businesses of all sizes, especially those with sensitive data or critical infrastructure managed through Zitadel. Shared hosting environments where multiple users share a single Zitadel instance are also particularly vulnerable.
• linux / server:
journalctl -u zitadel -f | grep -i 'saml-post' # Monitor for suspicious activity related to the SAML endpoint• generic web:
curl -I https://your-zitadel-instance/saml-post # Check response headers for unusual content or XSS indicatorsdisclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-29191 é atualizar o Zitadel para a versão 4.12.0 ou superior, que inclui a correção para essa vulnerabilidade XSS. Se a atualização imediata não for possível, implemente validação de entrada rigorosa em todos os dados recebidos no endpoint /saml-post. Isso inclui a sanitização de todos os caracteres especiais e a aplicação de políticas de permissão estritas. Considere a utilização de um Web Application Firewall (WAF) com regras específicas para detectar e bloquear tentativas de injeção de XSS no endpoint. Monitore os logs do Zitadel em busca de padrões suspeitos de atividade, como solicitações incomuns para o endpoint /saml-post.
Atualizar ZITADEL para a versão 4.12.0 ou superior. Esta versão contém a correção para a vulnerabilidade XSS no endpoint /saml-post. A atualização mitigará o risco de uma possível tomada de controle de contas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-29191 is a critical Cross-Site Scripting (XSS) vulnerability in Zitadel's /saml-post endpoint, allowing potential account takeover.
Yes, if you are using Zitadel versions prior to 4.12.0, you are vulnerable to this XSS attack.
Upgrade Zitadel to version 4.12.0 or later to patch the vulnerability. Consider input validation as a temporary workaround.
While no public exploits are currently known, the ease of exploitation suggests a high probability of future exploitation.
Refer to the Zitadel security advisories on their official website or GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.