authentik - это поставщик идентификационной информации с открытым исходным кодом, ориентированный на гибкость и универсальность. Версии до …

authentik - это поставщик идентификационной информации с открытым исходным кодом, ориентированный на гибкость и универсальность. Версии до 2022.11.4 и 2022.10.4 уязвимы для неправильной аутентификации. Повторное использование токена в URL-адресах приглашений приводит к обходу контроля доступа за счет использования другого потока регистрации, чем в предоставленном. Уязвимость позволяет злоумышленнику, знающему различные имена потоков приглашений (например, `enrollment-invitation-test` и `enrollment-invitation-admin`) либо через различные ссылки-приглашения, либо путем перебора, зарегистрироваться через единый URL-адрес приглашения для любой полученной действительной ссылки-приглашения (это может быть даже URL-адрес для третьего потока, если это действительное приглашение), поскольку токен, используемый в разделе `Invitations` интерфейса администратора, НЕ изменяется при выборе другого `потока регистрации` через интерфейс и он НЕ привязан к выбранному потоку, поэтому он будет действителен для любого потока при использовании. Эта проблема исправлена в authentik 2022.11.4, 2022.10.4 и 2022.12.0. Затронуты только конфигурации, которые используют приглашения и имеют несколько потоков регистрации со стадиями приглашения, которые предоставляют различные разрешения. Конфигурация по умолчанию не уязвима, как и конфигурации с одним потоком регистрации. В качестве обходного пути в приглашения можно добавить фиксированные данные, которые можно проверить в потоке, чтобы отклонить запросы. В качестве альтернативы, идентификатор с высокой энтропией (например, UUID) можно использовать в качестве слаг потока, уменьшая вектор атаки за счет экспоненциального уменьшения возможности обнаружения других потоков.