CVE-2026-47203
NiskieCVSS 2.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Wersje Authelia od 4.38.0 do 4.39.19 mają problem z obsługą wielkości liter w nazwach użytkowników podczas uwierzytelniania przez Basic Auth. W wyniku tego, różne warianty wielkości liter mogą prowadzić do tworzenia oddzielnych bucketów banów dla tego samego użytkownika.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp, ponieważ różne warianty nazw użytkowników mogą omijać mechanizmy banowania. To może prowadzić do zwiększonego ryzyka ataków brute force.
Rekomendacja
Zaleca się aktualizację do wersji 4.39.20, aby zastosować poprawkę. Alternatywnie, można tymczasowo wyłączyć mechanizm uwierzytelniania Basic Auth.
Oryginalny opis (angielski, źródło NVD)
Authelia is an open-source authentication and authorization server providing two-factor authentication and single sign-on (SSO) for applications via a web portal. In versions 4.38.0 through 4.39.19, when a user authenticates via Basic Auth (i.e via the `Authorization` header with the `Basic` scheme) on the authz verification endpoint, Authelia takes the username directly from the `Authorization` header and passes it as is to the regulation system for ban checking and attempt recording. LDAP treats usernames case insensitively : `john`, `John`, and `JOHN` all bind as the same user. But the regulation SQL queries treat the lookup of these values in certain scenarios as case sensitive. This allows each variation of a usernames case to have its own ban bucket. Upgrade to 4.39.20 to receive a patch. As a workaround, explicitly disable the basic auth mechanism.

