Vulnerabilidad en authentik (CVE-2025-53942)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
23/07/2025
Última modificación:
25/07/2025
Descripción
authentik es un proveedor de identidad de código abierto que prioriza la flexibilidad y la versatilidad, compatible con una amplia gama de protocolos. En las versiones 2025.4.4 y anteriores, así como en las versiones 2025.6.0-rc1 a 2025.6.3, los usuarios desactivados que se registraron mediante OAuth/SAML o vincularon sus cuentas a proveedores de OAuth/SAML aún pueden conservar acceso parcial al sistema a pesar de que sus cuentas estén desactivadas. Al final, se encuentran en un estado de autenticación parcial, donde no pueden acceder a la API, pero, fundamentalmente, pueden autorizar aplicaciones si conocen la URL de la aplicación. Para solucionar este problema, los desarrolladores pueden agregar una política de expresión a la etapa de inicio de sesión del usuario en el flujo de autenticación correspondiente con la expresión `return request.context["pending_user"].is_active`. Esta modificación garantiza que la declaración `return` solo active la etapa de inicio de sesión del usuario cuando este esté activo. Este problema se solucionó en las versiones authentik 2025.4.4 y 2025.6.4.
Impacto
Puntuación base 4.0
7.10
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/goauthentik/authentik/commit/7a4c6b9b50f8b837133a7a1fd2cb9b7f18a145cd
- https://github.com/goauthentik/authentik/commit/c3629d12bfe3d32d3dc8f85c0ee1f087a55dde8f
- https://github.com/goauthentik/authentik/commit/ce3f9e3763c1778bf3a16b98c95d10f4091436ab
- https://github.com/goauthentik/authentik/security/advisories/GHSA-9g4j-v8w5-7x42