ZITADEL gebruikersenumeratie kwetsbaarheid in inlog UI

Huurhacker augustus 22, 2025

Er is een nieuwe kwetsbaarheid ontdekt in de identity-infrastructuursoftware ZITADEL die mogelijke gebruikersenumeratie toestaat via de inloginterface. Deze kwetsbaarheid, aangeduid als CVE-2025-57770, stelt een ongeauthenticeerde aanvaller in staat om middels het invoeren van willekeurige gebruikers-ID’s uit te zoeken welke accounts geldig zijn.

Versies van ZITADEL lager dan 2.71.15, tussen 3.0.0 en 3.3.6, en versie 4.0.0 tot 4.0.2 zijn getroffen. Updates naar versies 4.0.3, 3.4.0 en 2.71.15 verhelpen dit probleem. Zonder updates kunnen aanvallers interacties onderscheiden waardoor accountvaliditeit kan worden bepaald.

Overzicht

De kwetsbaarheid (CWE-203: Observable Discrepancy) maakt gebruik van de inconsistentie in de systeemrespons bij bekende en onbekende gebruikersnaamverzoeken. Hoewel het systeem reacties zou moeten genereren die geen onderscheid maken tussen bestaande en niet-bestaande gebruikers, kan een aanvaller toch deze beperking omzeilen.

Aanbevelingen

Upgrade naar ZITADEL versies 4.0.3, 3.4.0 of 2.71.15 om de kwetsbaarheid te verhelpen.
Overweeg het instellen van rate limiting om grootschalige enumeratiepraktijken tegen te gaan.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-57770?

Dit betreft een veiligheidskwetsbaarheid in ZITADEL waardoor kwaadwillenden gebruikers kunnen onderscheiden op basis van systeemreacties in de inloginterface.

Welke systemen zijn kwetsbaar voor CVE-2025-57770?

Systemen die ZITADEL draaien in versies lager dan 2.71.15, 3.0.0 tot 3.3.6, en 4.0.0 tot 4.0.2 zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Ja, updates zijn uitgebracht in versies 4.0.3, 3.4.0 en 2.71.15 om deze kwetsbaarheid te verhelpen.

Wat kan een aanvaller met deze kwetsbaarheid?

Met deze kwetsbaarheid kan een aanvaller bepalen welke gebruikersnamen geldig zijn, mogelijk leidend tot verdere exploitatie zoals gerichte phishing-aanvallen.