Een recente kwetsbaarheid in ZITADEL (CVE-2025-53895) stelt kwaadwillenden in staat om sessies te kapen vanwege een ontbrekende toestemmingscontrole. Deze kwetsbaarheid geldt vanaf versie 2.53.0 tot voor versie 4.0.0-rc.2. Met deze zwakke plek kan een aanvaller sessie-ID’s misbruiken en zich voordoen als een andere gebruiker om gevoelige gegevens te benaderen.
Het is van cruciaal belang om direct actie te ondernemen en de nieuwste updates te installeren om deze kwetsbaarheid te dichten.
Overzicht
De kwetsbaarheid, geïdentificeerd als CWE-863 (Onjuiste Autorisatie) en CWE-384 (Sessie Fixatie), heeft een hoge impactscore van 7.7 op de CVSSv4.0-schaal. Deze impact is het gevolg van de mogelijkheid voor een aanvaller om op netwerkniveau met lage complexiteit toegang te krijgen zonder dat gerichte gebruikerinteractie vereist is.
Aanbevelingen
- Update ZITADEL naar versie 4.0.0-rc.2, 3.3.2, 2.71.13, of 2.70.14 om de kwetsbaarheid aan te pakken.
- Verifieer of uw huidige systeemversies getroffen zijn en plan updaten indien nodig.
Bronnen
- Advies van GitHub
- ZITADEL versie 2.70.14 release
- ZITADEL versie 2.71.13 release
- ZITADEL versie 3.3.2 release
- ZITADEL versie 4.0.0-rc.2 release
Vraag en Antwoord
Wat is CVE-2025-53895?
Het betreft een probleem in het sessiebeheer van ZITADEL waardoor sessies gekaapt kunnen worden.
Welke systemen zijn kwetsbaar voor CVE-2025-53895?
De kwetsbaarheid treft ZITADEL versies 2.53.0 tot voor 4.0.0-rc.2.
Bestaat er al een patch of beveiligingsupdate?
Ja, updates zijn beschikbaar vanaf versies 4.0.0-rc.2, 3.3.2, 2.71.13, en 2.70.14.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de sessies van andere gebruikers kapen en toegang krijgen tot gevoelige systemen.
