PT-2021-4490 · Authelia+1 · Authelia+1
Ricardo Pesqueira
+1
·
Publicado
2021-05-28
·
Atualizado
2021-12-20
·
CVE-2021-32637
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Authelia anteriores à 4.29.3
Descrição
A vulnerabilidade afeta usuários que utilizam o nginx ngx http auth request module com o Authelia. Ela permite que um indivíduo mal-intencionado, ao criar uma solicitação HTTP malformada, contorne o mecanismo de autenticação. Teoricamente, isso poderia afetar outros servidores proxy, mas todos os que são oficialmente suportados, exceto o nginx, não permitem caminhos URI malformados.
Recomendações
Para versões anteriores à 4.29.3, a solução alternativa mais relevante é atualizar para a versão 4.29.3 ou posterior.
Como alternativa, um patch git pode ser aplicado à versão 4.25.1 ou a outras versões, mediante solicitação.
Como solução alternativa temporária, considere adicionar um bloco que rejeite solicitações contendo uma URI malformada no bloco de localização interna.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Authelia
Nginx