CVE-2026-40166 in authentikinformação

Sumário

de VulDB • 22/05/2026

O authentik é um provedor de identidade de código aberto. Nas versões anteriores à 2025.12.5 e nas versões 2026.2.0-rc1 a 2026.2.2, usuários não administradores autenticados com pelo menos um token de acesso OAuth2 podem recuperar o client_secret de provedores OAuth2 confidenciais contra os quais eles se autenticaram anteriormente, expondo informações sensíveis a usuários sem as permissões adequadas. Essa lógica está associada ao endpoint GET /api/v3/oauth2/access_tokens/. A resposta da API inclui um objeto provider aninhado contendo client_id e client_secret para provedores configurados com client_type: confidential, os quais não deveriam ser acessíveis a usuários com privilégios reduzidos. Este problema foi corrigido nas versões 2025.12.5 e 2026.2.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

09/04/2026

Divulgação

22/05/2026

Moderação

aceite

Entrada

VDB-365266

CPE

pronto

CWE

CWE-200 (confirmado)

CVSS

4.3 (VulDB)

EPSS

0.00011

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40166
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40166
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40166/

◂ Voltar Visão Geral Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!