CVE-2022-23555

Versões do authentik anteriores à 2022.11.4

Versões do authentik anteriores à 2022.10.4

A vulnerabilidade diz respeito à reutilização de tokens em URLs de convite, levando à contornagem do controle de acesso por meio do uso de um fluxo de inscrição diferente daquele fornecido. Um invasor que conheça nomes de fluxos de convite diferentes, como enrollment-invitation-test e enrollment-invitation-admin, pode se cadastrar por meio de uma única URL de convite para qualquer link de convite válido recebido. Isso é possível porque o token usado na seção Convites da interface de administração não muda quando um fluxo de cadastro diferente é selecionado e não está vinculado ao fluxo selecionado. Apenas as configurações que utilizam convites e possuem múltiplos fluxos de inscrição com etapas de convite que concedem permissões diferentes são afetadas. A configuração padrão e as configurações com um único fluxo de inscrição não são vulneráveis.

Para versões anteriores à 2022.11.4, atualize para a versão 2022.11.4 ou posterior.

Para versões anteriores à 2022.10.4, atualize para a versão 2022.10.4 ou posterior.

Como solução alternativa temporária, considere adicionar dados fixos aos convites que possam ser verificados no fluxo para negar solicitações.

Como alternativa, use um identificador com alta entropia, como um UUID, como slug do fluxo para mitigar o vetor de ataque, diminuindo exponencialmente a possibilidade de descobrir outros fluxos.