Vulnerabilidad en authentik (CVE-2022-46172)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
28/12/2022
Última modificación:
23/06/2023
Descripción
authentik es un proveedor de identidad de código abierto centrado en la flexibilidad y la versatilidad. En versiones anteriores a 2022.10.4 y 2022.11.4, cualquier usuario autenticado puede crear una cantidad arbitraria de cuentas a través de los flujos predeterminados. Esto omitiría cualquier política en una situación en la que no sea deseable que los usuarios creen nuevas cuentas por sí mismos. Esto también puede afectar a otras aplicaciones, ya que estas nuevas cuentas básicas existirían en toda la infraestructura de SSO. De forma predeterminada, no se puede iniciar sesión en las cuentas recién creadas ya que no existe ningún restablecimiento de contraseña. Sin embargo, es probable que la mayoría de las instalaciones habiliten el restablecimiento de contraseñas. Esta vulnerabilidad pertenece al contexto de usuario utilizado en el flujo de configuración de usuario predeterminado, /api/v3/flows/instances/default-user-settings-flow/execute/. Este problema se solucionó en las versiones 2022.10.4 y 2022.11.4.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:goauthentik:authentik:*:*:*:*:*:*:*:* | 2022.10.0 (incluyendo) | 2022.10.4 (excluyendo) |
| cpe:2.3:a:goauthentik:authentik:*:*:*:*:*:*:*:* | 2022.11.0 (incluyendo) | 2022.11.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página