PT-2022-27786 · Authentik · Authentik
Dreamingraven
·
Publicado
2022-12-28
·
Atualizado
2026-04-16
·
CVE-2022-46172
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do authentik anteriores à 2022.10.4
Versões do authentik anteriores à 2022.11.4
Descrição
A vulnerabilidade permite que qualquer usuário autenticado crie um número arbitrário de contas por meio dos fluxos padrão, o que pode contornar políticas nas quais não é desejável que os usuários criem novas contas por conta própria. Isso pode afetar outros aplicativos, pois as novas contas básicas existiriam em toda a infraestrutura de SSO. Por padrão, não é possível fazer login nas contas recém-criadas, pois não há redefinição de senha por padrão, mas é provável que a redefinição de senha esteja habilitada na maioria das instalações. A vulnerabilidade está relacionada ao contexto do usuário usado no fluxo de configurações padrão do usuário, /api/v3/flows/instances/default-user-settings-flow/execute/.
Recomendações
Para versões anteriores à 2022.10.4, atualize para a versão 2022.10.4 ou posterior.
Para versões anteriores à 2022.11.4, atualize para a versão 2022.11.4 ou posterior.
Exploit
Correção
Improper Privilege Management
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Authentik