Vulnerabilidad en authentik (CVE-2022-23555)

authentik es un proveedor de identidades de código abierto centrado en la flexibilidad y la versatilidad. Las versiones anteriores a 2022.11.4 y 2022.10.4 son vulnerables a una autenticación incorrecta. La reutilización de tokens en las URL de invitación conduce a eludir el control de acceso mediante el uso de un flujo de inscripción diferente al proporcionado. La vulnerabilidad permite a un atacante que conoce diferentes nombres de flujos de invitación (por ejemplo, `inscripción-invitación-prueba` y `inscripción-invitación-admin`) a través de diferentes enlaces de invitación o mediante fuerza bruta registrarse a través de una única URL de invitación para cualquier enlace de invitación válido recibido (incluso puede ser una URL para un tercer flujo siempre que sea una invitación válida), ya que el token utilizado en la sección "Invitaciones" de la interfaz de administración NO cambia cuando se selecciona un "flujo de inscripción" diferente a través de la interfaz y NO está vinculado al flujo seleccionado, por lo que será válido para cualquier flujo cuando se utilice. Este problema se solucionó en authentik 2022.11.4,2022.10.4 y 2022.12.0. Solo se ven afectadas las configuraciones que usan invitaciones y tienen múltiples flujos de inscripción con etapas de invitación que otorgan diferentes permisos. La configuración predeterminada no es vulnerable, como tampoco lo son las configuraciones con un único flujo de inscripción. Como workaround, se pueden agregar datos fijos a las invitaciones que se pueden verificar en el flujo para rechazar solicitudes. Alternativamente, se puede utilizar un identificador con alta entropía (como un UUID) como flow slug, mitigando el vector de ataque al disminuir exponencialmente la posibilidad de descubrir otros flujos.