CVE-2026-40172 in authentikinformação

Sumário

de VulDB • 04/06/2026

authentik é um provedor de identidade de código aberto. Nas versões anteriores à 2025.12.5 e nas versões 2026.2.0-rc1 a 2026.2.2, o endpoint PATCH /api/v3/core/users/{pk}/ permite que um chamador com permissão change_user sobre um usuário alvo atribua grupos arbitrários por meio do UserSerializer, incluindo grupos com is_superuser=True, sem exigir enable_group_superuser, resultando em escalada de privilégios. Isso contorna o modelo de permissões mais rigoroso aplicado nos caminhos de gerenciamento de grupos e permite que as delegações de permissão de gerenciamento de usuários elevem os usuários alvo a um nível de privilégio equivalente ao de administrador. Usuários com permissões para atualizar grupos ou permissões para atualizar usuários podem adicionar-se a si mesmos ou outros usuários sobre os quais têm permissão aos usuários que possuem permissões de superusuário. Este problema foi corrigido nas versões 2025.12.5 e 2026.2.3.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

09/04/2026

Divulgação

22/05/2026

Moderação

aceite

Entrada

VDB-365267

CPE

pronto

EPSS

0.00011

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40172
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40172
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40172/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!