W open-source'owym dostawcy tożsamości Goauthentik Authentik wykryto podatność typu XSS (Cross-Site Scripting) w komponencie AutosubmitStage mechanizmu SFE (Simple Flow Executor). Luka umożliwia atakującemu wykonanie złośliwego kodu po stronie przeglądarki ofiary, co przy ocenie CVSS 9.3 kwalifikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
authentik is an open-source identity provider. Prior to versions 2025.12.5 and 2026.2.3, due to the implementation of stages in the SFE (Simple Flow Executor) in order to make the interface more compatible with legacy browsers, it was possible to use an XSS exploit in the AutosubmitStage. This issue has been patched in versions 2025.12.5 and 2026.2.3.
Podatność wynika ze sposobu implementacji etapów (stages) w mechanizmie SFE, który został zaprojektowany w celu zapewnienia zgodności z przeglądarkami starszej generacji (legacy browsers). Niewystarczająca sanityzacja danych w komponencie AutosubmitStage pozwala na wstrzyknięcie i wykonanie złośliwego kodu JavaScript w kontekście aplikacji. Atak wymaga interakcji użytkownika (UI:R), lecz nie wymaga żadnego uwierzytelnienia ani specjalnych uprawnień po stronie atakującego, a jego skutki mogą wykraczać poza domenę źródłową (S:C — zmiana zakresu).
Atakujący może uzyskać dostęp do poufnych danych użytkownika (np. sesji, tokenów) oraz dokonać nieautoryzowanych modyfikacji w kontekście zalogowanego użytkownika, co w przypadku systemu zarządzania tożsamością może prowadzić do przejęcia kont lub nieuprawnionego dostępu do chronionych zasobów.
Należy zaktualizować Goauthentik Authentik do wersji 2025.12.5 lub 2026.2.3 (lub nowszych), w których podatność została usunięta. Szczegóły dostępne w referencjach producenta: https://github.com/goauthentik/authentik/security/advisories/GHSA-pgff-5mx8-fqj3
Goauthentik Authentik w wersjach wcześniejszych niż 2025.12.5 oraz wcześniejszych niż 2026.2.3
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NGoauthentik Authentik
APPGoauthentik< 2025.12.52026.2.0 – 2026.2.3 (bez)
Powiązane podatności
Pominięcie etapu uwierzytelniania (Source Stage) w Goauthentik Authentik
RCE w authentik przez endpoint testowy mapowania właściwości
Pominięcie uwierzytelnienia przez nagłówek X-Forwarded-For w authentik
authentik is an open-source Identity Provider. Prior to versions 2023.8.4 and 2023.10.2, when the default admi...
authentik is an open-source Identity Provider. Due to an insufficient access check, a recovery flow link that ...