PT-2024-32393 · Authentik · Authentik
Quentinmit
·
Publicado
2024-09-27
·
Atualizado
2026-04-16
·
CVE-2024-47077
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do authentik anteriores à 2024.8.3
Versões do authentik anteriores à 2024.6.5
Descrição
A vulnerabilidade permite que tokens de acesso emitidos para um aplicativo sejam roubados e usados para se passar pelo usuário em relação a qualquer outro provedor de proxy. Um usuário também pode roubar um token de acesso que lhe foi legitimamente emitido para um aplicativo e usá-lo para acessar outro aplicativo ao qual não tem permissão de acesso. Isso afeta qualquer pessoa que tenha mais de um aplicativo de provedor de proxy com domínios de confiança diferentes ou controle de acesso diferente.
Recomendações
Para versões anteriores à 2024.8.3, atualize para a versão 2024.8.3 ou posterior para corrigir o problema.
Para versões anteriores à 2024.6.5, atualize para a versão 2024.6.5 ou posterior para corrigir o problema.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Authentik