CVE-2026-27946

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-27946
ZITADEL is an open source identity management platform. Prior to versions 4.11.1 and 3.4.7, a vulnerability in Zitadel's self-management capability allowed users to mark their email and phone as verified without going through an actual verification process. The patch in versions 4.11.1 and 3.4.7 resolves the issue by requiring the correct permission in case the verification flag is provided and only allows self-management of the email address and/or phone number itself. If an upgrade is not possible, an action (v2) could be used to prevent setting the verification flag on the own user.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/zitadel/zitadel/security/advisories/GHSA-282g-fhmx-xf54 Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*
History

05 Mar 2026, 14:54

Type Values Removed Values Added
First Time Zitadel
Zitadel zitadel
Summary
  • (es) ZITADEL es una plataforma de gestión de identidades de código abierto. Antes de las versiones 4.11.1 y 3.4.7, una vulnerabilidad en la capacidad de autogestión de Zitadel permitía a los usuarios marcar su correo electrónico y teléfono como verificados sin pasar por un proceso de verificación real. El parche en las versiones 4.11.1 y 3.4.7 resuelve el problema al requerir el permiso correcto en caso de que se proporcione la bandera de verificación y solo permite la autogestión de la propia dirección de correo electrónico y/o número de teléfono. Si una actualización no es posible, se podría usar una acción (v2) para evitar establecer la bandera de verificación en el propio usuario.
References () https://github.com/zitadel/zitadel/security/advisories/GHSA-282g-fhmx-xf54 - () https://github.com/zitadel/zitadel/security/advisories/GHSA-282g-fhmx-xf54 - Vendor Advisory
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 6.5
CPE cpe:2.3:a:zitadel:zitadel:*:*:*:*:*:*:*:*

26 Feb 2026, 01:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-02-26 01:16

Updated : 2026-03-05 14:54

NVD link : CVE-2026-27946

Mitre link : CVE-2026-27946

CVE.ORG link : CVE-2026-27946

JSON object : View

Products Affected

zitadel

  • zitadel
CWE
CWE-862

Missing Authorization