authentik 对多个 API 端点的授权不足(CVE-2024-42490)

admin
admin
admin
0
文章
0
评论
2024-08-26 15:04:33 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
authentik 对多个 API 端点的授权不足(CVE-2024-42490)

CVE编号

CVE-2024-42490

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-23
漏洞描述
authentik是一个开源的身份提供商。有几个API端点可以在用户没有正确进行身份验证/授权的情况下被访问。受此影响的API端点主要是/api/v3/crypto/certificatekeypairs/<uuid>/view_certificate/、/api/v3/crypto/certificatekeypairs/<uuid>/view_private_key/和/api/v3/.../used_by/。请注意,所有受影响的API端点都需要知道对象的ID,尤其是证书,这对于没有特权的用户是不可访问的。此外,大多数对象的ID都是UUIDv4,这意味着它们不容易猜测或枚举。authentik 2024.4.4、2024.6.4和2024.8.0版本修复了这个问题。
解决建议
"将组件 goauthentik.io 升级至 2024.6.4 及以上版本""将组件 goauthentik.io 升级至 2024.4.4 及以上版本"
参考链接
https://github.com/goauthentik/authentik/commit/19318d4c00bb02c4ec3c4f8f15ac2...
https://github.com/goauthentik/authentik/commit/359b343f51524342a5ca03828e7c9...
https://github.com/goauthentik/authentik/security/advisories/GHSA-qxqc-27pr-wgc8
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0