CVE-2026-32131— ZITADEL 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-32131の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
ZITADEL Cross-Tenant Information Disclosure in Management API
ソース: NVD (National Vulnerability Database)
脆弱性説明
ZITADEL is an open source identity management platform. Prior to 3.4.8 and 4.12.2, a vulnerability in Zitadel's Management API has been reported, which allowed authenticated users holding a valid low-privilege token (e.g., project.read, project.grant.read, or project.app.read) to retrieve management-plane information belonging to other organizations by specifying a different tenant’s project_id, grant_id, or app_id. This vulnerability is fixed in 3.4.8 and 4.12.2.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
通过用户控制密钥绕过授权机制
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
ZITADEL 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
ZITADEL是瑞士ZITADEL开源的一个身份和访问管理平台。 ZITADEL 3.4.8之前版本和4.12.2之前版本存在安全漏洞,该漏洞源于Management API存在访问控制问题,可能导致持有低权限令牌的已验证用户通过指定其他租户的ID来检索属于其他组织的管理平面信息。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-32131の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-32131のインテリジェンス情報
请登录查看更多情报信息。
- Release v3.4.8 · zitadel/zitadel · GitHubx_refsource_MISC
- Release v4.12.2 · zitadel/zitadel · GitHubx_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2026-32131
Same Patch Batch · zitadel · 2026-03-11 · 3 CVEs total
| CVE-2026-32130 | 7.5 HIGH | ZITADEL SCIM Authentication Bypass via URL Encoding |
| CVE-2026-32132 | 7.4 HIGH | ZITADEL: Reactivation of Expired Passkey Registration Codes |
IV. 関連脆弱性
同じ製品: zitadel
- CVE-2026-33132
ZITADEL is missing enforcement of organization scopes - CVE-2026-32132
ZITADEL: Reactivation of Expired Passkey Registration Codes - CVE-2026-32130
ZITADEL SCIM Authentication Bypass via URL Encoding - CVE-2026-29067
ZITADEL: Account Takeover Due to Improper Instance Validatio - CVE-2026-29193
ZITADEL: Bypassing Zitadel Login Behavior and Security Polic
同じベンダー: zitadel
- CVE-2026-33132
ZITADEL is missing enforcement of organization scopes - CVE-2026-32132
ZITADEL: Reactivation of Expired Passkey Registration Codes - CVE-2026-32130
ZITADEL SCIM Authentication Bypass via URL Encoding - CVE-2026-29067
ZITADEL: Account Takeover Due to Improper Instance Validatio - CVE-2026-29193
ZITADEL: Bypassing Zitadel Login Behavior and Security Polic
同じ弱点: CWE-639
- CVE-2026-8196
JeecgBoot mLogin Endpoint LoginController.java authorization - CVE-2026-42291
SysReptor: Read-write access to personal notes by sharing-li - CVE-2026-44400
MailEnable Enterprise Premium < 10.55 Authorization Bypass v - CVE-2026-42279
solidtime: Time entry update endpoint allows cross-organizat - CVE-2026-42277
Onyx: IDOR in /chat/file/{file_id} allows any authenticated
V. CVE-2026-32131へのコメント
まだコメントはありません