漏洞描述
authentik 是一个开源身份验证供应平台。
authentik 2022.11.2 和 2022.10.2 之前版本中存在身份验证不当漏洞,未经身份验证的攻击者可利用此漏洞在 authentik 中创建新帐户,如果存在允许通过电子邮件验证密码恢复的流程,攻击者可利用该流程覆盖管理员帐户的电子邮件地址并接管他们的帐户。用户可创建一个 default-user-settings-flow flow 策略,并将其设置为 “return request.user.is_authenticated”缓解此漏洞。
| 漏洞名称 | CVE-2022-46145漏洞 |
|---|---|
| 漏洞类型 | 认证机制不恰当 |
| 发现时间 | 2022-12-03 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-65538 |
| CVE编号 | CVE-2022-46145 |
| CNVD编号 | - |
影响范围
goauthentik/authentik@[2022.10.0, 2022.10.2)
goauthentik/authentik@[2022.11.0, 2022.11.2)
修复方案
升级goauthentik/authentik到 2022.10.2 或 2022.11.2 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-65538
https://nvd.nist.gov/vuln/detail/CVE-2022-46145
https://github.com/goauthentik/authentik/security/advisories/GHSA-mjfw-54m5-fvjf
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
