CVE-2024-42490

Versões do authentik anteriores à 2024.4.4

Versões do authentik de 2024.6.0-rc1 a 2024.6.3

Versões do authentik anteriores à 2024.8.0

O problema diz respeito a um provedor de identidade de código aberto, no qual vários pontos de extremidade da API podem ser acessados por usuários sem a devida autenticação ou autorização. Os principais pontos de extremidade da API afetados são “/api/v3/crypto/certificatekeypairs//view certificate/”, “/api/v3/crypto/certificatekeypairs//view private key/” e “/api/v3/.../used by/”. Esses pontos de extremidade exigem o conhecimento do ID de um objeto, que não é facilmente acessível a usuários sem privilégios, especialmente no caso de certificados, e os IDs são, em sua maioria, UUIDv4, o que os torna difíceis de adivinhar ou enumerar.

Para versões anteriores à 2024.4.4, atualize para a versão 2024.4.4 ou posterior.

Para as versões 2024.6.0-rc1 a 2024.6.3, atualize para a versão 2024.6.4 ou posterior.

Para versões anteriores à 2024.8.0, atualize para a versão 2024.8.0 ou posterior.

Como solução alternativa temporária, considere bloquear o acesso aos pontos de extremidade da API afetados no nível do proxy reverso/balanceador de carga para impedir a exploração.