CVE-2026-29191 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ZITADEL 登录 V2 接口存在 **XSS（跨站脚本）** 漏洞。 💥 **后果**：攻击者可注入恶意脚本，导致 **账户接管**，严重威胁用户身份安全。

🔍 **CWE**：CWE-79（跨站脚本）。 📍 **缺陷点**：**登录 V2 接口** 未正确过滤或转义用户输入，导致恶意脚本在浏览器端执行。

🎯 **受影响版本**：ZITADEL **4.0.0 至 4.11.1**。 🏢 **厂商/产品**：ZITADEL（瑞士开源身份认证平台）。

🕵️ **黑客能力**：执行任意 JS 代码。 🔓 **权限/数据**：窃取 **Session/Cookie**，伪装用户身份，实现 **账户接管**，读取敏感认证数据。

📉 **利用门槛**：**低**。 🔑 **条件**：无需认证（PR:N），但需用户交互（UI:R）。攻击者需诱导受害者点击 **恶意链接** 或访问被篡改页面。

📦 **Exp/PoC**：当前数据中 **无公开 PoC**。 🌍 **在野利用**：暂无明确在野利用报告，但鉴于漏洞本质，风险极高。

🔎 **自查方法**： 1. 检查 ZITADEL 版本是否在 **4.0.0-4.11.1** 范围内。 2. 审查 **登录 V2 接口** 的输入输出处理逻辑。 3. 使用 DAST 工具扫描 XSS 漏洞。

🛡️ **官方修复**：已发布安全公告（GHSA-pr34-2v5x-6qjq）。 ✅ **建议**：立即升级至 **修复后的最新版本**（4.11.2 或更高）。

⚠️ **临时规避**： 1. 实施严格的 **CSP（内容安全策略）** 限制脚本执行。 2. 对登录接口输入进行 **严格过滤和转义**。 3. 启用 **HttpOnly Cookie** 防止脚本窃取 Session。

🔥 **优先级**：**高**。 💡 **理由**：CVSS 评分高（C:H, I:H），直接导致 **账户接管**。作为身份认证核心组件，必须 **立即修补**，防止大规模身份泄露。