CVE-2024-52307

Versões do authentik anteriores à 2024.8.5

Versão 2024.10.3 do authentik

O problema está relacionado ao uso de uma comparação de tempo não constante para o endpoint “/-/metrics/”, o que possibilitou o ataque de força bruta à SECRET KEY usada para autenticar o endpoint. Esse endpoint retorna métricas do Prometheus e não se destina a ser acessado diretamente. Ele deve ser acessado pelo proxy Go em execução no contêiner do servidor authentik, que serve os dados em uma porta separada. Como o endpoint não se destina a ser acessado publicamente, as solicitações a ele podem ser bloqueadas pelo proxy reverso/balanceador de carga usado com o authentik.

Para versões anteriores à 2024.8.5, atualize para a versão 2024.8.5 ou posterior para corrigir o problema.

Para a versão 2024.10.3, esta versão corrige o problema, portanto, nenhuma ação adicional é necessária para esta versão específica.

Como solução alternativa temporária, considere bloquear solicitações ao endpoint “/-/metrics/” configurando o proxy reverso/balanceador de carga para minimizar o risco de exploração.