CVE-2025-24806

Nome do Software Vulnerável e Versões Afetadas Versões do Authelia anteriores à 4.38.19 Versão 4.39.0 do Authelia

Descrição O Authelia é um servidor de autenticação e autorização de código aberto que fornece autenticação de dois fatores e login único (SSO) para aplicativos via um portal web. Se os usuários tiverem permissão para fazer login via nome de usuário e e-mail, o sistema de regulação trata esses como eventos de login separados. Isso resulta na duplicação efetiva dos limites de regulação, assumindo que um atacante usa força bruta para encontrar a senha de um usuário. Devido ao funcionamento efetivo da regulação, onde não há nenhum indício visível ao usuário sobre seu bloqueio por regulação, seja através do tempo de resposta ou das respostas da API, é efetivamente impossível determinar se uma falha ocorre devido a uma combinação incorreta de nome de usuário e senha ou a um bloqueio efetivo impedindo a tentativa, o que mitiga significativamente qualquer forma de ataque de força bruta. Isso tem um impacto mínimo na segurança da conta, impacto este que é aumentado naturalmente em cenários onde não há autenticação de dois fatores obrigatória e senhas fracas são usadas, tornando um pouco mais fácil descobrir uma senha por força bruta.

Recomendações Para versões do Authelia anteriores à 4.38.19, atualize para a versão 4.38.19 ou posterior. Para a versão 4.39.0 do Authelia, nenhuma ação adicional é necessária, pois esta versão já inclui a correção. Para usuários que não possam atualizar, não modifique significativamente as configurações padrão de forma que resultem em bloqueios por regulação mais curtos ou menos frequentes, pois as configurações padrão mitigam efetivamente qualquer potencial de exploração deste problema. Desative a capacidade de os usuários fazerem login através de um endereço de e-mail.