CVE-2026-33132

ZITADEL is an open source identity management platform. Versions prior to 3.4.9 and 4.0.0 through 4.12.2 allowed users to bypass organization enforcement during authentication. Zitadel allows applications to enforce an organzation context during authentication using scopes (urn:zitadel:iam:org:id:{id} and urn:zitadel:iam:org:domain:primary:{domainname}). If enforced, a user needs to be part of the required organization to sign in. While this was properly enforced for OAuth2/OIDC authorization requests in login V1, corresponding controls were missing for device authorization requests and all login V2 and OIDC API V2 endpoints. This allowed users to bypass the restriction and sign in with users from other organizations. Note that this enforcement allows for an additional check during authentication and applications relying on authorizations / roles assignments are not affected by this bypass. This issue has been patched in versions 3.4.9 and 4.12.3.

CVSS v3 5.3 MEDIUM

5.3^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/zitadel/zitadel/commit/d90285929ca019fa817f31551fd0883429dda2a8	Patch
https://github.com/zitadel/zitadel/releases/tag/v3.4.9	Release Notes
https://github.com/zitadel/zitadel/releases/tag/v4.12.3	Release Notes
https://github.com/zitadel/zitadel/security/advisories/GHSA-g2pf-ww5m-2r9m	Patch Vendor Advisory

Configurations

Configuration 1 (hide)

OR	cpe:2.3:a:zitadel:zitadel::::::::
	cpe:2.3:a:zitadel:zitadel::::::::

History

23 Mar 2026, 18:06

Type	Values Removed	Values Added
References	~~() https://github.com/zitadel/zitadel/commit/d90285929ca019fa817f31551fd0883429dda2a8 -~~	() https://github.com/zitadel/zitadel/commit/d90285929ca019fa817f31551fd0883429dda2a8 - Patch
References	~~() https://github.com/zitadel/zitadel/releases/tag/v3.4.9 -~~	() https://github.com/zitadel/zitadel/releases/tag/v3.4.9 - Release Notes
References	~~() https://github.com/zitadel/zitadel/releases/tag/v4.12.3 -~~	() https://github.com/zitadel/zitadel/releases/tag/v4.12.3 - Release Notes
References	~~() https://github.com/zitadel/zitadel/security/advisories/GHSA-g2pf-ww5m-2r9m -~~	() https://github.com/zitadel/zitadel/security/advisories/GHSA-g2pf-ww5m-2r9m - Patch, Vendor Advisory
Summary		(es) ZITADEL es una plataforma de gestión de identidades de código abierto. Las versiones anteriores a la 3.4.9 y de la 4.0.0 a la 4.12.2 permitían a los usuarios eludir la aplicación de la organización durante la autenticación. Zitadel permite a las aplicaciones aplicar un contexto de organización durante la autenticación utilizando ámbitos (urn:zitadel:iam:org:id:{id} y urn:zitadel:iam:org:domain:primary:{domainname}). Si se aplica, un usuario necesita ser parte de la organización requerida para iniciar sesión. Aunque esto se aplicaba correctamente para las solicitudes de autorización de OAuth2/OIDC en el inicio de sesión V1, faltaban controles correspondientes para las solicitudes de autorización de dispositivos y todos los puntos finales de inicio de sesión V2 y OIDC API V2. Esto permitía a los usuarios eludir la restricción e iniciar sesión con usuarios de otras organizaciones. Tenga en cuenta que esta aplicación permite una verificación adicional durante la autenticación y las aplicaciones que dependen de autorizaciones / asignaciones de roles no se ven afectadas por esta elusión. Este problema ha sido parcheado en las versiones 3.4.9 y 4.12.3.
First Time		Zitadel Zitadel zitadel
CPE		cpe:2.3:a:zitadel:zitadel::::::::

20 Mar 2026, 11:18

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-03-20 11:18

Updated : 2026-03-23 18:06

NVD link : CVE-2026-33132

Mitre link : CVE-2026-33132

CVE.ORG link : CVE-2026-33132

JSON object : View

Products Affected

zitadel

zitadel

CWE

CWE-863

Incorrect Authorization

5.3 /10