CVE-2026-41569

Nome do Software Vulnerável e Versões Afetadas authentik versões anteriores a 2026.2.3

Descrição O provedor WS-Federation neste provedor de identidade de código aberto valida o parâmetro wreply fornecido pelo usuário usando uma verificação de prefixo de string bruta em vez de uma análise de URL adequada. Um invasor pode criar um link de login com um valor wreply de uma origem diferente que ignore essa verificação, levando o navegador da vítima a enviar (POST) a resposta de login WS-Federation assinada para a infraestrutura controlada pelo invasor.

Recomendações Atualize para a versão 2026.2.3.