Podatność, oznaczona jako CVE-2026-49448 (CVSS 9.8), pozwala atakującemu na ominięcie jednego z etapów uwierzytelniania (Source stage - uwierzytelnianie z wykorzystaniem zewnętrznego dostawcy tożsamości) poprzez wysłanie pustego żądania POST.

Podatność dotyczy oprogramowania authentik w wersjach:

• <= 2025.12.5

• <= 2026.2.3

• <= 2026.5.0

Rekomendujemy niezwłoczną aktualizację oprogramowania do wersji pozbawionych podatności:

• >= 2025.12.6

• >= 2026.2.4

• >= 2026.5.1

Szczegółowe informacje na temat podatności znajdą Państwo w komunikacie producenta: https://github.com/goauthentik/authentik/security/advisories/GHSA-xp7f-xjjx-gwm8

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/86/krytyczna-podatnosc-w-oprogramowaniu-authentik/

Co o tym myślisz?

0 odpowiedzi