PT-2021-18228 · Authelia · Authelia
Clems4Ever
·
Publicado
2021-04-21
·
Atualizado
2023-03-16
·
CVE-2021-29456
CVSS v3.1
5.7
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Authelia versões 4.27.4 e anteriores
Descrição:
A vulnerabilidade permite que um invasor redirecione usuários da aplicação web para qualquer domínio, incluindo sites potencialmente maliciosos, utilizando um parâmetro de consulta HTTP. Isso não afeta diretamente a segurança da própria aplicação web, mas pode ser usado para tentativas de phishing, fazendo com que pareçam mais confiáveis. O invasor pode redirecionar usuários para sites maliciosos, aproveitando-se da familiaridade do usuário com o site inicial e com a URL real.
Recomendações:
Para as versões 4.27.4 e anteriores, atualize para a versão 4.28.0, que inclui um patch para este problema.
Como solução alternativa temporária, considere usar um proxy reverso para remover o parâmetro de consulta do endpoint afetado.
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Authelia