Jmecom

**Nome do Software Vulnerável e Versões Afetadas** authentik versões anteriores a 2026.2.3 **Descrição** O provedor WS-Federation neste provedor de identidade de código aberto valida o parâmetro `wreply` fornecido pelo usuário usando uma verificação de prefixo de string bruta em vez de uma análise de URL adequada. Um invasor pode criar um link de login com um valor `wreply` de uma origem diferente que ignore essa verificação, levando o navegador da vítima a enviar (POST) a resposta de login WS-Federation assinada para a infraestrutura controlada pelo invasor. **Recomendações** Atualize para a versão 2026.2.3.