Vulnerabilidad en authentik (CVE-2023-46249)

authentik es un proveedor de identidades de código abierto. Antes de las versiones 2023.8.4 y 2023.10.2, cuando se eliminaba el usuario administrador predeterminado, era posible que un atacante estableciera la contraseña del usuario administrador predeterminado sin ninguna autenticación. authentik utiliza un modelo para crear el usuario administrador predeterminado, que también puede establecer opcionalmente la contraseña de los usuarios administradores predeterminados desde una variable de entorno. Cuando se elimina el usuario, el flujo de "configuración inicial" utilizado para configurar authentik después de la primera instalación vuelve a estar disponible. authentik 2023.8.4 y 2023.10.2 solucionan este problema. Como workaround, asegúrese de que el usuario administrador predeterminado (nombre de usuario `akadmin`) exista y tenga una contraseña establecida. Se recomienda utilizar una contraseña muy segura para este usuario y guardarla en un lugar seguro como un administrador de contraseñas. También es posible desactivar el usuario para evitar inicios de sesión como akaadmin.