CVE-2025-53942

Nome do Software Vulnerável e Versões Afetadas Versões do authentik anteriores a 2025.4.4 Versões do authentik 2025.6.0-rc1 até 2025.6.3

Descrição Usuários desativados que se registraram através de OAuth/SAML ou vincularam suas contas a provedores OAuth/SAML podem reter acesso parcial ao sistema, apesar de suas contas estarem desativadas. Esses usuários entram em um estado parcialmente autenticado onde não podem acessar a API, mas podem autorizar aplicativos se souberem a URL do aplicativo.

Recomendações Para versões anteriores a 2025.4.4, adicione uma política de expressão à etapa de login do usuário no respectivo fluxo de autenticação com a expressão: return request.context["pending user"].is active. Para versões 2025.6.0-rc1 até 2025.6.3, adicione uma política de expressão à etapa de login do usuário no respectivo fluxo de autenticação com a expressão: return request.context["pending user"].is active.