关键漏洞信息 漏洞概述 标题: Account Takeover via Malicious Forwarded Header Injection 发布者: livio-a 发布时间: 3 hours ago CVE ID: CVE-2025-64101 严重性: High (8.1 / 10) 影响 描述: ZITADEL 的密码重置机制存在潜在漏洞。攻击者可以通过操纵 或 头来生成指向恶意域的密码重置链接,从而捕获秘密代码并重置用户密码。 影响范围: 使用受影响版本的 ZITADEL 用户可能面临账户接管风险。 受影响版本 4.x: 4.0.0 - 4.5.0 (包括 RC 版本) 3.x: 3.0.0 - 3.4.2 (包括 RC 版本) 2.x: v2.0.0 - 2.71.17 修复版本 4.x: >= 4.6.0 3.x: >= 3.4.3 2.x: >= 2.71.18 解决方案 推荐解决方案: 更新 ZITADEL 到已修复的版本。 临时解决方法: 配置 ZITADEL 前端代理以删除所有 和 头值。 其他信息 CVSS v3 基础指标: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: Required - 范围: Unchanged - 机密性: High - 完整性: High - 可用性: None 发现者: Amit Laish 修复开发者: livio-a