Katalog CVE

CVE-2026-25227

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w authentik, otwartoźródłowym dostawcy tożsamości, pozwala użytkownikom z odpowiednimi uprawnieniami na wykonanie dowolnego kodu w kontenerze serwera authentik poprzez punkt końcowy testowy. Dotyczy to wersji od 2021.3.1 do przed 2025.8.6, 2025.10.4 i 2025.12.4.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu i potencjalnego przejęcia kontroli nad serwerem authentik, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 2025.8.6, 2025.10.4 lub 2025.12.4, które naprawiają tę podatność, aby zminimalizować ryzyko związane z jej wykorzystaniem.

Oryginalny opis (angielski, źródło NVD)

authentik is an open-source identity provider. From 2021.3.1 to before 2025.8.6, 2025.10.4, and 2025.12.4, when using delegated permissions, a User that has the permission Can view * Property Mapping or Can view Expression Policy is able to execute arbitrary code within the authentik server container through the test endpoint, which is intended to preview how a property mapping/policy works. authentik 2025.8.6, 2025.10.4, and 2025.12.4 fix this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS