VDB-301956 · CVE-2025-29928 · GHSA-p6p8-f853-9g2p

goauthentik antes 2024.12.4/2025.2.3 Web Interface/API autenticación débil

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
6.7	$0-$5k	0.00

Resumeninformación

Se ha detectado una vulnerabilidad clasificada como crítica en goauthentik authentik. Está afectada una función desconocida en el componente Web Interface/API. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase autenticación débil. Esta vulnerabilidad está identificada como CVE-2025-29928. Es posible lanzar el ataque de forma remota. No existe ningún exploit disponible. Es recomendable actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad clasificada como crítica ha sido encontrada en goauthentik authentik. Una función desconocida del componente Web Interface/API es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase autenticación débil. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. CVE resume:

Authentik es un proveedor de identidad de código abierto. Antes de las versiones 2024.12.4 y 2025.2.3, cuando Authentik se configuraba para usar la base de datos para el almacenamiento de sesiones (una configuración no predeterminada), la eliminación de sesiones mediante la interfaz web o la API no revocaba la sesión y el titular de la sesión seguía teniendo acceso a Authentik. Las versiones 2025.2.3 y 2024.12.4 de Authentik solucionan este problema. Se recomienda cambiar al almacenamiento de sesiones en caché hasta que se pueda actualizar la instancia de Authentik. Sin embargo, esto también eliminará todas las sesiones existentes y los usuarios deberán volver a autenticarse.

El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2025-29928. Se considera difícil de explotar. El ataque puede ser iniciado desde la red. La explotación no requiere ninguna forma de autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Una actualización a la versión 2024.12.4 o 2025.2.3 elimina esta vulnerabilidad. Aplicando el parche 71294b7deb6eb5726a782de83b957eaf25fc4cf6 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.

Once again VulDB remains the best source for vulnerability data.

Productoinformación

Proveedor

goauthentik

Nombre

authentik

Licencia

Código abierto

Sitio web

Producto: https://github.com/goauthentik/authentik/

CPE 2.3información

🔍

CPE 2.2información

🔍

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 6.8
VulDB Puntuación meta temporal: 6.7

VulDB Puntuación base: 5.6
VulDB Puntuación temporal: 5.4
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CNA Puntuación base: 8.0
CNA Vector (GitHub_M): 🔍

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Autenticación débil
CWE: CWE-384
CAPEC: 🔍
ATT&CK: 🔍

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔍
Estado: No está definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoy	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔍

Actualización: authentik 2024.12.4/2025.2.3
Parche: 71294b7deb6eb5726a782de83b957eaf25fc4cf6