Authentik
Уязвимости
36
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01237
Распределение по критичности
Критический
7
Высокий
14
Средний
13
Низкий
0
Затронутые диапазоны версий
2021.3.1–2025.8.62022.10.0–2022.10.42023.8.0–2023.8.62025.9–2025.10.2< 2022.10.2< 2022.10.4< 2022.12.3< 2023.4.3< 2023.5.6< 2023.8.4< 2023.8.5< 2023.8.7< 2024.10.4< 2024.12.4< 2024.4.4< 2024.6.0< 2024.6.5< 2024.8.5< 2025.10.4< 2025.12.5< 2025.12.6< 2025.4.3< 2025.4.4< 2025.8.6
Также сопоставлено как (исходные строки): authentik
Топ уязвимостей
CVE-2026-49448authentik является поставщиком идентификации с открытым исходным кодом. До версий 2025.12.6, 2026.2.4 и 2026.5.1, сцена Source можно обойти, отправив пустой POST. Этот выпуск был исправлен в версиях 2025.12.6, 2026.2.4 и 2026.5.1.
CVE-2024-38371authentik — это поставщик идентификационных данных с открытым исходным кодом. Ограничения доступа, назначенные приложению, не проверялись при использовании потока кода устройства OAuth2. Это потенциально могло позволить пользователям без надлежащей авторизации получать токены OAuth для приложения и получать к нему доступ. Эта проблема была исправлена в версиях 2024.6.0, 2024.2.4 и 2024.4.3.
CVE-2023-48228authentik - это поставщик удостоверений с открытым исходным кодом. При инициализации потока oauth2 с `code_challenge` и `code_method` (таким образом, запрашивая PKCE), поставщик единого входа (authentik) должен проверить, есть ли соответствующий и существующий `code_verifier` на этапе получения токена. До версий 2023.10.4 и 2023.8.5 authentik проверяет, совпадает ли содержимое `code_verifier`, только когда он предоставлен. Когда он полностью отсутствует, authentik просто принимает запрос токена без него; даже если поток был запущен с `code_challenge`. authentik 2023.8.5 и 2023.10.4 исправляют эту проблему.
CVE-2023-46249authentik - это поставщик удостоверений с открытым исходным кодом. До версий 2023.8.4 и 2023.10.2, когда пользователь admin по умолчанию был удален, злоумышленник потенциально может установить пароль пользователя admin по умолчанию без какой-либо аутентификации. authentik использует схему для создания пользователя admin по умолчанию, которая также может дополнительно установить пароль пользователей admin по умолчанию из переменной среды. Когда пользователь удаляется, поток `initial-setup`, используемый для настройки authentik после первой установки, снова становится доступным. authentik 2023.8.4 и 2023.10.2 исправляют эту проблему. В качестве обходного пути убедитесь, что пользователь admin по умолчанию (имя пользователя `akadmin`) существует и имеет установленный пароль. Рекомендуется использовать очень надежный пароль для этого пользователя и хранить его в безопасном месте, например, в менеджере паролей. Также можно деактивировать пользователя, чтобы предотвратить любые входы в систему как akadmin.
CVE-2022-46145authentik - это поставщик идентификационной информации с открытым исходным кодом. Версии до 2022.11.2 и 2022.10.2 уязвимы для несанкционированного создания пользователей и потенциального захвата учетных записей. С помощью потоков по умолчанию неаутентифицированные пользователи могут создавать новые учетные записи в authentik. Если существует поток, который позволяет восстановить пароль с подтверждением по электронной почте, его можно использовать для перезаписи адреса электронной почты учетных записей администратора и захвата их учетных записей. authentik 2022.11.2 и 2022.10.2 устраняют эту проблему. В качестве обходного пути можно создать политику и привязать ее к `default-user-settings-flow flow` с содержимым `return request.user.is_authenticated`.
CVE-2026-42849authentik является поставщиком идентификации с открытым исходным кодом. До версий 2025.12.5 и 2026.2.3, благодаря внедрению этапов в SFE (Simple Flow Executor) для того, чтобы сделать интерфейс более совместимым с устаревшими браузерами, удалось использовать эксплойт XSS в AutosubmitStage. Эта проблема была исправлена в версиях 2025.12.5 и 2026.2.3.
CVE-2024-47070authentik — это поставщик идентификационных данных с открытым исходным кодом. Уязвимость, существующая в версиях до 2024.8.3 и 2024.6.5, позволяет обойти вход по паролю, добавив заголовок X-Forwarded-For с не анализируемым IP-адресом, например `a`. Это приводит к возможности входа в любую учетную запись с известным логином или адресом электронной почты. Уязвимость требует, чтобы экземпляр authentik доверял заголовку X-Forwarded-For, предоставленному злоумышленником, поэтому он не воспроизводится с внешних хостов в правильно настроенной среде. Проблема возникает из-за того, что этап пароля имеет привязанную к нему политику, которая пропускает этап пароля, если этап идентификации также настроен на содержание этапа пароля. Из-за недействительного заголовка X-Forwarded-For, который недостаточно рано проверяется на IP-адрес, исключение происходит позже, и политика завершается неудачей. Чертеж по умолчанию не устанавливает `failure_result` в значение `True` при привязке политики, что означает, что из-за этого исключения политика возвращает значение false, и этап пароля пропускается. Версии 2024.8.3 и 2024.6.5 исправляют эту проблему.
CVE-2026-49443authentik является поставщиком идентификации с открытым исходным кодом. До версий 2025.12.6, 2026.2.4 и 2026.5.1 злоумышленник, способный изменять исходное соединение, и учетная запись в одном из настроенных источников может войти в любую учетную запись. Этот выпуск был исправлен в версиях 2025.12.6, 2026.2.4 и 2026.5.1.
CVE-2026-25922authentik является поставщиком идентификации с открытым исходным кодом. До 2025.8.6, 2025.10.4 и 2025.12.4, при использовании SAML Source, который имеет опцию Проверить подпись Успокоения в включенном сертификате проверки и не Проверять подпись ответа, или не имеет настройки сертификата шифрования в настройках Advanced Protocol, настраиваемого настроек Advanced Protocol, злоумышленник мог вводить вредоносное утверждение до подписания утверждения, что authentik будет использовать вместо этого.
CVE-2024-37905authentik — это поставщик удостоверений с открытым исходным кодом, который подчеркивает гибкость и универсальность. Механизм Authentik API-Access-Token можно использовать для получения привилегий пользователя-администратора. Успешное использование этой проблемы приведет к тому, что пользователь получит полный административный доступ к приложению Authentik, включая сброс паролей пользователей и многое другое. Эта проблема была исправлена в версиях 2024.2.4, 2024.4.2 и 2024.6.0.
CVE-2024-23647Authentik - это поставщик идентификационных данных с открытым исходным кодом. В нашей реализации PKCE есть ошибка, которая позволяет злоумышленнику обойти защиту, которую предлагает PKCE. PKCE добавляет параметр code_challenge к запросу авторизации и добавляет параметр code_verifier к запросу токена. До версий 2023.8.7 и 2023.10.7 возможен сценарий понижения версии: если злоумышленник удалит параметр code_challenge из запроса авторизации, authentik не будет выполнять проверку PKCE. Из-за этой ошибки злоумышленник может обойти защиту, которую предлагает PKCE, такую как атаки CSRF и атаки с внедрением кода. Версии 2023.8.7 и 2023.10.7 исправляют эту проблему.
CVE-2022-23555authentik - это поставщик идентификационной информации с открытым исходным кодом, ориентированный на гибкость и универсальность. Версии до 2022.11.4 и 2022.10.4 уязвимы для неправильной аутентификации. Повторное использование токена в URL-адресах приглашений приводит к обходу контроля доступа за счет использования другого потока регистрации, чем в предоставленном. Уязвимость позволяет злоумышленнику, знающему различные имена потоков приглашений (например, `enrollment-invitation-test` и `enrollment-invitation-admin`) либо через различные ссылки-приглашения, либо путем перебора, зарегистрироваться через единый URL-адрес приглашения для любой полученной действительной ссылки-приглашения (это может быть даже URL-адрес для третьего потока, если это действительное приглашение), поскольку токен, используемый в разделе `Invitations` интерфейса администратора, НЕ изменяется при выборе другого `потока регистрации` через интерфейс и он НЕ привязан к выбранному потоку, поэтому он будет действителен для любого потока при использовании. Эта проблема исправлена в authentik 2022.11.4, 2022.10.4 и 2022.12.0. Затронуты только конфигурации, которые используют приглашения и имеют несколько потоков регистрации со стадиями приглашения, которые предоставляют различные разрешения. Конфигурация по умолчанию не уязвима, как и конфигурации с одним потоком регистрации. В качестве обходного пути в приглашения можно добавить фиксированные данные, которые можно проверить в потоке, чтобы отклонить запросы. В качестве альтернативы, идентификатор с высокой энтропией (например, UUID) можно использовать в качестве слаг потока, уменьшая вектор атаки за счет экспоненциального уменьшения возможности обнаружения других потоков.
CVE-2026-40165authentik является поставщиком идентификаций с открытым исходным кодом. Версии 2025.12.4 и предыдущие, а также версии 2026.2.0-rc1 до 2026.2.2 были уязвимы для обхода аутентификации через SAML NameID XML Comment Injection. Из-за того, как authentik извлек значение NameID из утверждения SAML, злоумышленник мог обмануть Authentic только в том, чтобы увидеть часть значения NameID, потенциально позволяя злоумышленнику получить доступ к другим учетным записями. Эта проблема может быть использована в аутентичном случае с SAML Source, где у злоумышленника была учетная запись в источнике SAML и возможность изменять их значение NameID (обычно имя пользователя или E-mail), и была включена XML-подпись. Злоумышленник мог изменить утверждение SAML, данное authentik, путем ввода комментария в значении NameID, который эффективно усечен в значении NameID до фрагмента перед комментарием и предоставил злоумышленнику доступ к любой учетной записи пользователя. Эта проблема была исправлена в версиях 2025.12.5 и 2026.2.3.
CVE-2026-47201authentik является поставщиком идентификаций с открытым исходным кодом. До версий 2025.12.5, 2026.2.3 и 2026.5.1 конечная точка SAML-источник Austentik уязвима для оберка XML при проверке ответов SAML выше по течению. Злоумышленник с любой учетной записью в upstream IdP может повторно использовать действительное подписанное утверждение для аутентификации в качестве другого федеративного пользователя. Этот выпуск был исправлен в версиях 2025.12.5, 2026.2.3 и 2026.5.1.
CVE-2025-29928authentik является открытым поставщиком идентификации. До версий 2024.12.4 и 2025.2.3, когда authentik был настроен для использования базы данных для хранения сеансов (что является нетипичной настройкой), удаление сеансов через веб-интерфейс или API не отзывалось, и держатель сеанса продолжал иметь доступ к authentik. authentik 2025.2.3 и 2024.12.4 исправляют эту проблему. Рекомендуется переключиться на кэшированное хранилище сеансов до обновления экземпляра authentik. Однако это также приведет к удалению всех существующих сеансов, и пользователям придется пройти повторную аутентификацию.
CVE-2024-52289authentik - это поставщик идентификационной информации с открытым исходным кодом. URI перенаправления в провайдере OAuth2 в authentik проверяются с помощью сравнения RegEx. Если в провайдере не настроены URI перенаправления, authentik автоматически использует первое полученное значение redirect_uri в качестве разрешенного URI перенаправления, не экранируя символы, имеющие специальное значение в RegEx. Аналогично, документация также не принимала это во внимание. Учитывая провайдера с URI перенаправления, установленными на https://foo.example.com, злоумышленник может зарегистрировать домен fooaexample.com, и он успешно пройдет проверку. authentik 2024.8.5 и 2024.10.3 исправляют эту проблему. В качестве обходного пути при настройке провайдеров OAuth2 убедитесь, что экранируете любые символы подстановки, которые не предназначены для работы в качестве подстановочного знака, например, замените `.` на `\.`.
CVE-2026-25748authentik является поставщиком идентификационных данных с открытым исходным кодом. До 2025.10.4 и 2025.12.4 с уродливым файлом cookie можно было обойти аутентификацию при использовании прямой аутентификации в аутентичном прокси-провайдере при использовании в сочетании с Traefik или Caddy в качестве обратного прокси. Когда использовался вредоносный файл cookie, не был установлен ни один из специализированных заголовков X-Authentik-*, которые в зависимости от приложения могут предоставить доступ злоумышленнику. authentik 2025.10.4 и 2025.12.4 исправить эту проблему.
CVE-2024-42490authentik - это поставщик удостоверений с открытым исходным кодом. Несколько конечных точек API доступны пользователям без правильной аутентификации/авторизации. Основными конечными точками API, затронутыми этим, являются /api/v3/crypto/certificatekeypairs/<uuid>/view_certificate/, /api/v3/crypto/certificatekeypairs/<uuid>/view_private_key/ и /api/v3/.../used_by/. Обратите внимание, что все затронутые конечные точки API требуют знания идентификатора объекта, который, особенно для сертификатов, недоступен непривилегированному пользователю. Кроме того, идентификаторы для большинства объектов являются UUIDv4, что означает, что их нелегко угадать/перечислить. authentik 2024.4.4, 2024.6.4 и 2024.8.0 устраняют эту проблему.
CVE-2023-36456authentik — это поставщик удостоверений с открытым исходным кодом. В версиях, предшествующих 2023.4.3 и 2023.5.5, authentik не проверяет источник заголовков X-Forwarded-For и X-Real-IP, как в коде Python, так и в коде go. Этому подвержены только те установки authentik, которые напрямую доступны пользователям без обратного прокси-сервера. Возможна подмена IP-адресов в журналах, нижестоящих приложениях, проксированных (встроенным) форпостом, обход IP в пользовательских потоках, если они используются.
Это представляет возможный риск безопасности, когда кто-то имеет потоки или политики, проверяющие IP-адрес пользователя, например, когда они хотят игнорировать двухфакторную аутентификацию пользователя, когда пользователь подключен к сети компании. Второй риск безопасности заключается в том, что IP-адреса в файлах журналов и пользовательских сессиях больше не являются надежными. Кто угодно может подделать этот адрес, и нельзя проверить, вошел ли пользователь с IP-адреса, указанного в журнале его учетной записи. Третий риск заключается в том, что этот заголовок передается в прокси-приложение за форпостом. Приложение может выполнять любую проверку, ведение журнала, блокировку или ограничение скорости на основе IP-адреса, и этот IP-адрес может быть переопределен любым, кто захочет это сделать.
Версии 2023.4.3 и 2023.5.5 содержат исправление этой проблемы.
CVE-2026-25227authentik является поставщиком идентификации с открытым исходным кодом. С 2021.3.1 до 2025.8.6, 2025.10.4 и 2025.12.4, при использовании делегированных разрешений, Пользователь, у которого есть разрешение, может просматривать * Политика в отношении свойств или может просматривать Политику выражения, может выполнять произвольный код в контейнере сервера authentik через тестовую конечную точку, которая предназначена для предварительного просмотра того, как работает картирование/политика свойств. authentik 2025.8.6, 2025.10.4 и 2025.
CVE-2025-53942authentik - это открытый Identity Provider, который подчеркивает гибкость и универсальность, с поддержкой широкого набора протоколов. В версиях 2025.4.4 и ранее, а также в версиях 2025.6.0-rc1 по 2025.6.3, деактивированные пользователи, зарегистрировавшиеся через OAuth/SAML или связавшие свои учетные записи с OAuth/SAML-провайдерами, могут по-прежнему сохранять частичный доступ к системе, несмотря на деактивацию их учетных записей. Они оказываются в частично аутентифицированном состоянии, в котором не могут получить доступ к API, но могут авторизовать приложения, если знают URL приложения [1]. Для устранения этой проблемы разработчики могут добавить политику выражений в этап входа пользователя в соответствующий поток аутентификации с выражением return request.context["pending_user"].is_active. Эта модификация гарантирует, что этап входа пользователя будет активирован только когда пользователь активен. Эта проблема исправлена в версиях authentik 2025.4.4 и 2025.6.4.
Источники:
- [1] https://github.com/goauthentik/authentik/security/advisories/GHSA-9g4j-v8w5-7x42
- [2] https://github.com/goauthentik/authentik/commit/7a4c6b9b50f8b837133a7a1fd2cb9b7f18a145cd
- [3] https://github.com/goauthentik/authentik/commit/c3629d12bfe3d32d3dc8f85c0ee1f087a55dde8f
- [4] https://github.com/goauthentik/authentik/commit/ce3f9e3763c1778bf3a16b98c95d10f4091436ab
CVE-2026-41577authentik является поставщиком идентификации с открытым исходным кодом. До версий 2025.12.5 и 2026.2.3 процессор ответа источника SAML (ResponseProcessor.parse()) не проверяет элемент Условий на утверждениях. Не раньше, NotOnOrAfter, и AudienceRestriction игнорируются. Это позволяет воспроизводить просроченные утверждения и принимать утверждения, предназначенные для других поставщиков услуг. Этот выпуск был исправлен в версиях 2025.12.5 и 2026.2.3.
CVE-2026-41569authentik является поставщиком идентификации с открытым исходным кодом. До версии 2026.2.3 поставщик WS-Federation проверяет параметр опровержения, поставляемый пользователем, используя необработанную проверку префикса строки, а не надлежащий анализ URL-адреса. Злоумышленник, который может создать ссылку для входа в систему, может предоставить значение сообщения о другом происхождении, которое проходит проверку (например, https://portal.example.com.evil.tld/), в результате чего браузер жертвы POST подписал ответ WS-Federation на инфраструктуру, контролируемую злоумышленником. Эта проблема была исправлена в версии 2026.2.3.
CVE-2024-47077authentik — это поставщик идентификационных данных с открытым исходным кодом. В версиях до 2024.8.3 и 2024.6.5 токены доступа, выданные одному приложению, могут быть украдены этим приложением и использованы для олицетворения пользователя в любом другом прокси-провайдере. Кроме того, пользователь может украсть токен доступа, который был законно выдан ему для одного приложения, и использовать его для доступа к другому приложению, к которому у него нет доступа. Затронуты все, у кого есть несколько приложений прокси-провайдера с разными доменами доверия или разными элементами управления доступом. Версии 2024.8.3 и 2024.6.5 исправляют эту проблему.
CVE-2023-26481authentik — это поставщик удостоверений с открытым исходным кодом. Из-за недостаточной проверки доступа ссылку потока восстановления, созданную администратором (или отправленную по электронной почте администратором), можно использовать для установки пароля для любого произвольного пользователя. Эта атака возможна только в том случае, если существует поток восстановления, который имеет как этап идентификации, так и этап электронной почты, связанные с ним. Если поток имеет политики на этапе идентификации, чтобы пропустить его при восстановлении потока (путем проверки `request.context['is_restored']`), этот поток не подвержен этой проблеме. При наличии этого потока администратор должен создать ссылку восстановления или отправить URL-адрес восстановления злоумышленнику, который может из-за неправильной проверки токена создать, установить пароль для любой учетной записи. В любом случае, для пользовательских потоков восстановления рекомендуется добавить политику, которая проверяет, восстановлен ли поток, и пропускает этап идентификации. Эта проблема была исправлена в версиях 2023.2.3, 2023.1.3 и 2022.12.2.