CVE-2023-26481 in authentikИнформация

Сводка

по VulDB • 13.05.2026

authentik — это провайдер идентификации с открытым исходным кодом. Из-за недостаточной проверки доступа ссылка на процесс восстановления, созданная администратором (или отправленная по электронной почте администратором), может быть использована для установки пароля для любого произвольного пользователя. Эта атака возможна только в том случае, если существует процесс восстановления, который включает в себя этапы идентификации и отправки электронной почты. Если для этапа идентификации в процессе восстановления настроена политика, позволяющая пропустить его при восстановлении процесса (путем проверки `request.context['is_restored']`), то такой процесс не подвержен данной уязвимости. При наличии такого процесса администратор должен создать ссылку для восстановления или отправить URL-адрес восстановления злоумышленнику, который, благодаря неправильной проверке токена, сможет установить пароль для любой учетной записи. Тем не менее, для пользовательских процессов восстановления рекомендуется добавить политику, которая проверяет, был ли процесс восстановлен, и пропускает этап идентификации. Эта проблема исправлена в версиях 2023.2.3, 2023.1.3 и 2022.12.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub, Inc.

Резервировать

23.02.2023

Раскрытие

04.03.2023

Модерация

принято

Вход

VDB-222302

EPSS

0.00275

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!