Kritische 1-Klick-Schwachstellen in ZITADEL

Die Schwachstelle ermöglicht Angreifenden, schadhaften Code einzuschleusen und im Browser des Users auszuführen. Nach einem einzelnen Klick des Users auf einen entsprechend präparierten Link können Angreifende das Passwort zurücksetzen und das Konto des Users und sogar das ganze System übernehmen. Dies ist eine sog. XSS-Schwachstelle (Cross Site Scripting), die im HTTP-Endpunkt /saml-post liegt.

Betroffen sind die Versionen 4.0.0 bis 4.11.1 des Produkts. Die Sicherheitslücke hat die Kennung CVE-2026-29191 (EUVD-2026-10148) und einen CVSS-Base-Score von 9.3/10. 

Dies berichten verschiedene Medien und Plattformen.

ZITADEL ist eine Open-Source-IAM-Plattform. Das gleichnamige Unternehmen wurde in der Schweiz gegründet, hat seinen Hauptsitz jedoch im kalifornischen San Francisco mit weltweiten Niederlassungen. Nach Angaben der Firma wurde die Software mehr als 1,2 Millionen Mal heruntergeladen.

Aktualisieren Sie ZITADEL rasch auf Version 4.12.0. Wenn dies nicht möglich ist, können Sie den Pfad /saml-post mit einer Web Application Firewall oder mit einem Reverse Proxy filtern, um das Risiko vorübergehend zu reduzieren.

Unabhängig von dieser Schwachstelle wird empfohlen, stets eine Zwei-Faktor-Authentifizierung einzurichten, wo dies möglich ist.