CVE-2023-46249 in authentikinfo

Zusammenfassung

von VulDB • 02.06.2026

authentik ist ein Open-Source-Identitätsanbieter. Vor den Versionen 2023.8.4 und 2023.10.2 ist es potenziell möglich, dass ein Angreifer das Passwort des Standard-Admin-Benutzers ohne jegliche Authentifizierung festlegt, wenn der Standard-Admin-Benutzer gelöscht wurde. authentik verwendet eine Blueprint, um den Standard-Admin-Benutzer zu erstellen, wobei optional auch das Passwort des Standard-Admin-Benutzers aus einer Umgebungsvariable festgelegt werden kann. Wenn der Benutzer gelöscht wird, wird der `initial-setup`-Flow, der zur Konfiguration von authentik nach der ersten Installation verwendet wird, wieder verfügbar. authentik 2023.8.4 und 2023.10.2 beheben dieses Problem. Als Workaround sollte sichergestellt werden, dass der Standard-Admin-Benutzer (Benutzername `akadmin`) existiert und ein Passwort festgelegt hat. Es wird empfohlen, ein sehr starkes Passwort für diesen Benutzer zu verwenden und es an einem sicheren Ort wie einem Passwort-Manager zu speichern. Es ist auch möglich, den Benutzer zu deaktivieren, um jegliche Anmeldungen als akadmin zu verhindern.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

19.10.2023

Veröffentlichung

31.10.2023

Moderieren

akzeptiert

Eintrag

VDB-244095

CPE

bereit

EPSS

0.00654

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!