W Goauthentik Authentik wykryto krytyczną podatność umożliwiającą ominięcie etapu uwierzytelniania (Source Stage) poprzez wysłanie pustego żądania POST. Zagrożenie jest szczególnie poważne, ponieważ dotyczy dostawcy tożsamości (identity provider) i może pozwolić na nieautoryzowany dostęp bez podania jakichkolwiek poświadczeń.
▸ Pokaż oryginał (EN)
authentik is an open-source identity provider. Prior to versions 2025.12.6, 2026.2.4, and 2026.5.1, the Source stage can be bypassed by sending an empty POST. This issue has been patched in versions 2025.12.6, 2026.2.4, and 2026.5.1.
Podatność (CWE-287 — nieprawidłowa weryfikacja tożsamości) polega na tym, że mechanizm Source Stage nie waliduje poprawnie przesyłanych danych podczas procesu uwierzytelniania. Atakujący może wysłać puste żądanie HTTP POST, które zostaje zaakceptowane przez aplikację, omijając w ten sposób wymagany etap weryfikacji tożsamości. Nie są wymagane żadne uprawnienia, interakcja użytkownika ani szczególne warunki sieciowe — atak jest możliwy zdalnie przez sieć.
Atakujący może ominąć mechanizmy uwierzytelniania i uzyskać nieautoryzowany dostęp do zasobów chronionych przez Authentik, co może skutkować naruszeniem poufności, integralności oraz dostępności systemu zarządzania tożsamością.
Należy zaktualizować Goauthentik Authentik do wersji 2025.12.6, 2026.2.4 lub 2026.5.1, w których podatność została załatana. Szczegóły dostępne w referencjach producenta na GitHub Security Advisories.
Goauthentik Authentik we wszystkich wersjach wcześniejszych niż 2025.12.6, 2026.2.4 oraz 2026.5.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HGoauthentik Authentik
APPGoauthentik< 2025.12.62026.2.0 – 2026.2.4 (bez)2026.5.0 – 2026.5.1 (bez)
Powiązane podatności
XSS w AutosubmitStage komponentu SFE w Goauthentik Authentik
RCE w authentik przez endpoint testowy mapowania właściwości
Pominięcie uwierzytelnienia przez nagłówek X-Forwarded-For w authentik
authentik is an open-source Identity Provider. Prior to versions 2023.8.4 and 2023.10.2, when the default admi...
authentik is an open-source Identity Provider. Due to an insufficient access check, a recovery flow link that ...