Authentik · Authentik · CVE-2024-42490
**Nome do software vulnerável e versões afetadas**
Versões do authentik anteriores à 2024.4.4
Versões do authentik de 2024.6.0-rc1 a 2024.6.3
Versões do authentik anteriores à 2024.8.0
**Descrição**
O problema diz respeito a um provedor de identidade de código aberto, no qual vários pontos de extremidade da API podem ser acessados por usuários sem a devida autenticação ou autorização. Os principais pontos de extremidade da API afetados são “/api/v3/crypto/certificatekeypairs/<uuid>/view certificate/”, “/api/v3/crypto/certificatekeypairs/<uuid>/view private key/” e “/api/v3/.../used by/”. Esses pontos de extremidade exigem o conhecimento do ID de um objeto, que não é facilmente acessível a usuários sem privilégios, especialmente no caso de certificados, e os IDs são, em sua maioria, UUIDv4, o que os torna difíceis de adivinhar ou enumerar.
**Recomendações**
Para versões anteriores à 2024.4.4, atualize para a versão 2024.4.4 ou posterior.
Para as versões 2024.6.0-rc1 a 2024.6.3, atualize para a versão 2024.6.4 ou posterior.
Para versões anteriores à 2024.8.0, atualize para a versão 2024.8.0 ou posterior.
Como solução alternativa temporária, considere bloquear o acesso aos pontos de extremidade da API afetados no nível do proxy reverso/balanceador de carga para impedir a exploração.