发布日期：2023-10-26

更新日期：2023-12-27

受影响系统：

ZITADEL ZITADEL >= 2.39.0

ZITADEL ZITADEL < 2.39.2

ZITADEL ZITADEL < 2.38.2

描述：

CVE(CAN) ID: CVE-2023-46238

ZITADEL是瑞士ZITADEL开源的一个Auth0、Firebase Auth、AWS Cognito以及为容器和无服务器时代构建的Keycloak的现代开源替代方案。

ZITADEL 2.38.2之前版本、2.39.0至2.39.2之前版本存在跨站脚本漏洞，该漏洞源于程序未对安全标头进行正确验证，攻击者可利用该漏洞通过在SVG中注入代码获取用户账户的权限。

< **>

建议：

厂商补丁：

ZITADEL

-------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/zitadel/zitadel/releases/tag/v2.38.2

浏览次数：62

严重程度：0（网友投票）