Katalog CVE

CVE-2026-42849

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W oprogramowaniu authentik, będącym otwartoźródłowym dostawcą tożsamości, przed wersjami 2025.12.5 i 2026.2.3 istniała możliwość wykorzystania podatności XSS w AutosubmitStage z powodu implementacji etapów w SFE (Simple Flow Executor) w celu zwiększenia kompatybilności interfejsu z przestarzałymi przeglądarkami.

Ocena ryzyka

Wykorzystanie tej podatności mogło prowadzić do nieautoryzowanego dostępu do danych użytkowników oraz ich sesji, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 2025.12.5 lub 2026.2.3, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami XSS.

Oryginalny opis (angielski, źródło NVD)

authentik is an open-source identity provider. Prior to versions 2025.12.5 and 2026.2.3, due to the implementation of stages in the SFE (Simple Flow Executor) in order to make the interface more compatible with legacy browsers, it was possible to use an XSS exploit in the AutosubmitStage. This issue has been patched in versions 2025.12.5 and 2026.2.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS