CRITICAL🇬🇧 English

CVE-2026-42849

XSS w AutosubmitStage komponentu SFE w Goauthentik Authentik

CVSS 9.3v3.1pub. 2026-06-02upd. 2026-06-04

W open-source'owym dostawcy tożsamości Goauthentik Authentik wykryto podatność typu XSS (Cross-Site Scripting) w komponencie AutosubmitStage mechanizmu SFE (Simple Flow Executor). Luka umożliwia atakującemu wykonanie złośliwego kodu po stronie przeglądarki ofiary, co przy ocenie CVSS 9.3 kwalifikuje ją jako krytyczną.

Pokaż oryginał (EN)

authentik is an open-source identity provider. Prior to versions 2025.12.5 and 2026.2.3, due to the implementation of stages in the SFE (Simple Flow Executor) in order to make the interface more compatible with legacy browsers, it was possible to use an XSS exploit in the AutosubmitStage. This issue has been patched in versions 2025.12.5 and 2026.2.3.

🤖 Analiza AI
Jak działa

Podatność wynika ze sposobu implementacji etapów (stages) w mechanizmie SFE, który został zaprojektowany w celu zapewnienia zgodności z przeglądarkami starszej generacji (legacy browsers). Niewystarczająca sanityzacja danych w komponencie AutosubmitStage pozwala na wstrzyknięcie i wykonanie złośliwego kodu JavaScript w kontekście aplikacji. Atak wymaga interakcji użytkownika (UI:R), lecz nie wymaga żadnego uwierzytelnienia ani specjalnych uprawnień po stronie atakującego, a jego skutki mogą wykraczać poza domenę źródłową (S:C — zmiana zakresu).

Skutki

Atakujący może uzyskać dostęp do poufnych danych użytkownika (np. sesji, tokenów) oraz dokonać nieautoryzowanych modyfikacji w kontekście zalogowanego użytkownika, co w przypadku systemu zarządzania tożsamością może prowadzić do przejęcia kont lub nieuprawnionego dostępu do chronionych zasobów.

Mitygacja

Należy zaktualizować Goauthentik Authentik do wersji 2025.12.5 lub 2026.2.3 (lub nowszych), w których podatność została usunięta. Szczegóły dostępne w referencjach producenta: https://github.com/goauthentik/authentik/security/advisories/GHSA-pgff-5mx8-fqj3

Kogo dotyczy

Goauthentik Authentik w wersjach wcześniejszych niż 2025.12.5 oraz wcześniejszych niż 2026.2.3

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Goauthentik Authentik

    APP
    Goauthentik
    < 2025.12.52026.2.0 – 2026.2.3 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-49448CRITICAL9.8PL ✓ten sam produkt

Pominięcie etapu uwierzytelniania (Source Stage) w Goauthentik Authentik

CVE-2026-25227CRITICAL9.1PL ✓ten sam produkt

RCE w authentik przez endpoint testowy mapowania właściwości

CVE-2024-47070CRITICAL9.0PL ✓ten sam produkt

Pominięcie uwierzytelnienia przez nagłówek X-Forwarded-For w authentik

CVE-2023-46249CRITICAL9.6ten sam produkt

authentik is an open-source Identity Provider. Prior to versions 2023.8.4 and 2023.10.2, when the default admi...

CVE-2023-26481CRITICAL9.1ten sam produkt

authentik is an open-source Identity Provider. Due to an insufficient access check, a recovery flow link that ...