Authentik de Goauthentik Fallos de seguridad encontrados

Vulnerabilidades CVE de Authentik de Goauthentik

Authentik es un proveedor de identidad de código abierto

CVE-2023-26481 : Debido a una verificación de acceso insuficiente, se puede usar un enlace de flujo de recuperación creado por un administrador (o enviado por correo electrónico por un administrador) para establecer la contraseña para cualquier usuario arbitrario. Este ataque solo es posible si existe un flujo de recuperación, que tiene una identificación y una etapa de correo electrónico vinculadas. Si el flujo tiene políticas en la etapa de identificación para omitirlo cuando se restaura el flujo (al marcar `request.context['is_restored']`), el flujo no se ve afectado por esto. Con este flujo implementado, un administrador debe crear un enlace de recuperación o enviar una URL de recuperación al atacante, quien puede, debido a la validación incorrecta de la creación del token, establecer la contraseña para cualquier cuenta. De todos modos, para los flujos de recuperación personalizados, se recomienda agregar una política que verifique si el flujo se restaura, y se salta la etapa de identificación. Este problema se solucionó en las versiones 2023.2.3, 2023.1.3 y 2022.12.2.

CVE-2023-26481: https://goauthentik.io/docs/releases/2023.2#fixed-in-202323

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-03-08. Fecha publicación el 2023-03-08. Autor: Oscar olg Mapa del sitio Fuente: cve report