关键信息 漏洞名称: Users Can Self-Verify Email/Phone via UpdateHumanUser API 严重性: 高 (High) 漏洞描述 摘要: Zitadel 的自我管理功能中存在一个漏洞,允许用户在未经过实际验证过程的情况下标记自己的电子邮件和电话为已验证。 影响: - Zitadel 提供了一个用于管理用户的 API,该 API 允许用户自我管理自己的数据,包括更新电子邮件和电话。 - 由于不正确的权限检查,API 允许设置自己用户的电子邮件和电话的已验证标志,这使用户可以声称对不受其控制的电子邮件或电话的所有权,并可能绕过基于电子邮件的安全策略。 影响版本 受影响版本: - 4.x: 4.0.0 至 4.11.0(包含 RC 版本) - 3.x: 3.0.0 至 3.4.6(包含 RC 版本) - 2.x: 2.43.0 至 2.71.19 已修复版本: - 4.11.1 - 3.4.7 修复措施 补丁版本: - 4.x: 更新到 >=4.11.1 - 3.x: 更新到 >=3.4.7 - 2.x: 更新到 >=3.4.7 变通方法: 建议升级到已打补丁的版本。如果无法升级,可以使用 v2 版本的操作来防止设置自己用户的验证标志。 其他信息 CVSS v4 基本指标: - 严重性: 8.2/10 - 利用复杂度: 低 - 完整性影响: 高 CVE ID: CVE-2026-27946 联系信息: security@zitadel.com 受影响包 包名称: ZITADEL 受影响版本: - 4.0.0 至 4.11.0 (含 RC 版本) - 3.0.0 至 3.4.6 (含 RC 版本) - 2.43.0 至 2.71.19 已修复版本: - 4.11.1 - 3.4.7