发布日期：2025-07-15
更新日期：2025-09-22

受影响系统：

ZITADEL ZITADEL < 4.0.0-rc.2
ZITADEL ZITADEL < 2.71.13
ZITADEL ZITADEL < 2.70.14
ZITADEL ZITADEL 2.53.0

描述：

---

CVE(CAN) ID: CVE-2025-53895

ZITADEL是一个开源的身份管理系统。
ZITADEL 2.53.0及至4.0.0-rc.2、3.3.2、2.71.13和2.70.14之前版本的会话管理API存在授权错误漏洞，该漏洞源于缺少权限检查，已认证攻击者可利用该漏洞在知道会话ID的情况下更新会话，进行会话劫持，冒充其他用户并访问敏感资源。

<**>

建议：

---

厂商补丁：

ZITADEL
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/zitadel/zitadel/releases

浏览次数：7
严重程度：0（网友投票）