Vulnerabilidad en authentik (CVE-2024-47070)

authentik es un proveedor de identidad de código abierto. Una vulnerabilidad que existe en versiones anteriores a 2024.8.3 y 2024.6.5 permite omitir el inicio de sesión con contraseña agregando el encabezado X-Forwarded-For con una dirección IP que no se puede analizar, por ejemplo, `a`. Esto genera la posibilidad de iniciar sesión en cualquier cuenta con un nombre de usuario o una dirección de correo electrónico conocidos. La vulnerabilidad requiere que la instancia de authentik confíe en el encabezado X-Forwarded-For proporcionado por el atacante, por lo que no es reproducible desde hosts externos en un entorno configurado correctamente. El problema ocurre debido a que la etapa de contraseña tiene una política vinculada a ella, que omite la etapa de contraseña si la etapa de identificación está configurada para contener también una etapa de contraseña. Debido al encabezado X-Forwarded-For no válido, que no se valida como una dirección IP con la suficiente anticipación, la excepción ocurre más tarde y la política falla. El modelo predeterminado no establece correctamente `failure_result` en `True` en el enlace de política, lo que significa que debido a esta excepción, la política devuelve falso y se omite la etapa de contraseña. Las versiones 2024.8.3 y 2024.6.5 solucionan este problema.