Katalog CVE

CVE-2026-47203

NiskieCVSS 2.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Wersje Authelia od 4.38.0 do 4.39.19 mają problem z obsługą wielkości liter w nazwach użytkowników podczas uwierzytelniania przez Basic Auth. W wyniku tego, różne warianty wielkości liter mogą prowadzić do tworzenia oddzielnych bucketów banów dla tego samego użytkownika.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp, ponieważ różne warianty nazw użytkowników mogą omijać mechanizmy banowania. To może prowadzić do zwiększonego ryzyka ataków brute force.

Rekomendacja

Zaleca się aktualizację do wersji 4.39.20, aby zastosować poprawkę. Alternatywnie, można tymczasowo wyłączyć mechanizm uwierzytelniania Basic Auth.

Oryginalny opis (angielski, źródło NVD)

Authelia is an open-source authentication and authorization server providing two-factor authentication and single sign-on (SSO) for applications via a web portal. In versions 4.38.0 through 4.39.19, when a user authenticates via Basic Auth (i.e via the `Authorization` header with the `Basic` scheme) on the authz verification endpoint, Authelia takes the username directly from the `Authorization` header and passes it as is to the regulation system for ban checking and attempt recording. LDAP treats usernames case insensitively : `john`, `John`, and `JOHN` all bind as the same user. But the regulation SQL queries treat the lookup of these values in certain scenarios as case sensitive. This allows each variation of a usernames case to have its own ban bucket. Upgrade to 4.39.20 to receive a patch. As a workaround, explicitly disable the basic auth mechanism.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS