Podatność w open-source'owym dostawcy tożsamości authentik umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami delegowanymi wykonanie dowolnego kodu wewnątrz kontenera serwera authentik. Ze względu na możliwość eskalacji wpływu poza granice standardowego zakresu uprawnień (Scope: Changed) i pełny kompromis poufności, integralności oraz dostępności, podatność jest oceniana jako krytyczna.
▸ Pokaż oryginał (EN)
authentik is an open-source identity provider. From 2021.3.1 to before 2025.8.6, 2025.10.4, and 2025.12.4, when using delegated permissions, a User that has the permission Can view * Property Mapping or Can view Expression Policy is able to execute arbitrary code within the authentik server container through the test endpoint, which is intended to preview how a property mapping/policy works. authentik 2025.8.6, 2025.10.4, and 2025.12.4 fix this issue.
Użytkownik posiadający delegowane uprawnienie 'Can view * Property Mapping' lub 'Can view Expression Policy' może wywołać endpoint testowy, który służy do podglądu działania mapowania właściwości lub polityki opartej na wyrażeniach. Endpoint ten nie nakłada odpowiednich ograniczeń na wykonywany kod, co pozwala na przesłanie i uruchomienie dowolnego wyrażenia (CWE-94: Improper Control of Code Generation). W efekcie atakujący uzyskuje zdolność do wykonania arbitralnego kodu bezpośrednio w kontekście kontenera serwera authentik.
Atakujący może wykonać dowolny kod wewnątrz kontenera authentik, co prowadzi do pełnego przejęcia kontroli nad instancją serwera — w tym do ujawnienia wrażliwych danych, modyfikacji konfiguracji oraz potencjalnego dalszego ruchu w środowisku (lateral movement).
Należy zaktualizować authentik do wersji 2025.8.6, 2025.10.4 lub 2025.12.4, które zawierają poprawkę tego problemu. Szczegóły dostępne w oficjalnych wydaniach na GitHub oraz w advisory GHSA-qvxx-mfm6-626f.
Goauthentik authentik w wersjach od 2021.3.1 do (nie włącznie) 2025.8.6, 2025.10.4 oraz 2025.12.4
Podatność dotyczy wyłącznie użytkowników z delegowanymi uprawnieniami do przeglądania mapowań właściwości lub polityk wyrażeń — nie jest dostępna dla nieuwierzytelnionych atakujących. Mimo to szeroki zakres podatnych wersji (od 2021.3.1) zwiększa ekspozycję w środowiskach produkcyjnych.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HGoauthentik Authentik
APPGoauthentik2021.3.1 – 2025.8.6 (bez)2025.10.0 – 2025.10.4 (bez)2025.12.0 – 2025.12.4 (bez)
Powiązane podatności
XSS w AutosubmitStage komponentu SFE w Goauthentik Authentik
Pominięcie etapu uwierzytelniania (Source Stage) w Goauthentik Authentik
Pominięcie uwierzytelnienia przez nagłówek X-Forwarded-For w authentik
authentik is an open-source Identity Provider. Prior to versions 2023.8.4 and 2023.10.2, when the default admi...
authentik is an open-source Identity Provider. Due to an insufficient access check, a recovery flow link that ...