ZITADEL 在 github.com/zitadel/zitadel 的 Actions 中存在潜在的 SSRF
平台
go
组件
github.com/zitadel/zitadel
修复版本
2.59.1
4.11.1
1.80.0-v2.20.0.20260225053328-b2532e966621
CVE-2026-27945 描述了 Zitadel 中的服务器端请求伪造 (SSRF) 漏洞。此漏洞允许攻击者通过 Actions 构造恶意请求,从而可能访问内部资源或执行未经授权的操作。该漏洞影响 Zitadel 的 v2.59.0 之前的版本,包括 v4.11.1 之前的版本。已发布修复程序,建议尽快升级。
检测此 CVE 是否影响你的项目
上传你的 go.mod 文件,立即知道是否受影响。
影响与攻击场景
攻击者可以利用此 SSRF 漏洞发起对内部服务的请求,绕过网络隔离,访问敏感数据或执行恶意操作。例如,攻击者可能利用此漏洞扫描内部网络,探测开放端口,或访问存储在内部服务器上的机密信息。如果 Zitadel 实例与关键内部服务集成,则此漏洞可能导致严重的后果,包括数据泄露、服务中断和未经授权的访问。虽然 CVSS 评分为低,但由于 SSRF 漏洞可能被用于进一步攻击,因此仍应予以重视。
利用背景
目前尚无公开的利用代码 (PoC),但 SSRF 漏洞通常被认为是可利用的。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,并及时采取必要的缓解措施。NVD 和 CISA 已于 2026 年 3 月 10 日发布了此漏洞。
威胁情报
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
受影响的软件
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
解决此漏洞的首要措施是升级 Zitadel 至修复版本 1.80.0-v2.20.0.20260225053328-b2532e966621。如果无法立即升级,可以考虑实施临时缓解措施,例如限制 Zitadel 实例的网络访问权限,仅允许其访问必要的内部服务。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以过滤恶意请求并阻止 SSRF 攻击。请务必仔细测试升级后的版本,以确保其不会对现有功能产生负面影响。升级后,请验证漏洞是否已成功修复,例如通过尝试触发 SSRF 攻击并确认其已被阻止。
修复方法
将 ZITADEL 更新到 4.11.1 或更高版本。如果无法更新,请配置网络策略或防火墙规则以防止 Actions 使用不希望的端点。
CVE 安全通讯
漏洞分析和关键警报直接发送到您的邮箱。
常见问题
什么是 CVE-2026-27945 — SSRF 在 Zitadel 中?
CVE-2026-27945 是 Zitadel 中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过 Actions 构造恶意请求。
我是否受到 CVE-2026-27945 在 Zitadel 中影响?
如果您的 Zitadel 版本低于 1.80.0-v2.20.0.20260225053328-b2532e966621,则您可能受到此漏洞的影响。
我如何修复 CVE-2026-27945 在 Zitadel 中?
升级至 Zitadel 的修复版本 1.80.0-v2.20.0.20260225053328-b2532e966621。
CVE-2026-27945 是否正在被积极利用?
虽然目前没有公开的利用代码,但由于 SSRF 漏洞通常被认为是可利用的,因此建议密切关注安全动态。
在哪里可以找到官方 Zitadel 关于 CVE-2026-27945 的公告?
请查阅 Zitadel 官方安全公告,以获取有关此漏洞的更多信息和修复指南。