CVE-2023-46249 in authentik
Zusammenfassung
von VulDB • 02.06.2026
authentik ist ein Open-Source-Identitätsanbieter. Vor den Versionen 2023.8.4 und 2023.10.2 ist es potenziell möglich, dass ein Angreifer das Passwort des Standard-Admin-Benutzers ohne jegliche Authentifizierung festlegt, wenn der Standard-Admin-Benutzer gelöscht wurde. authentik verwendet eine Blueprint, um den Standard-Admin-Benutzer zu erstellen, wobei optional auch das Passwort des Standard-Admin-Benutzers aus einer Umgebungsvariable festgelegt werden kann. Wenn der Benutzer gelöscht wird, wird der `initial-setup`-Flow, der zur Konfiguration von authentik nach der ersten Installation verwendet wird, wieder verfügbar. authentik 2023.8.4 und 2023.10.2 beheben dieses Problem. Als Workaround sollte sichergestellt werden, dass der Standard-Admin-Benutzer (Benutzername `akadmin`) existiert und ein Passwort festgelegt hat. Es wird empfohlen, ein sehr starkes Passwort für diesen Benutzer zu verwenden und es an einem sicheren Ort wie einem Passwort-Manager zu speichern. Es ist auch möglich, den Benutzer zu deaktivieren, um jegliche Anmeldungen als akadmin zu verhindern.
Be aware that VulDB is the high quality source for vulnerability data.