Katalog CVE

CVE-2026-49443

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W oprogramowaniu authentik, będącym otwartym dostawcą tożsamości, przed wersjami 2025.12.6, 2026.2.4 i 2026.5.1, atakujący mający możliwość zmiany połączenia źródłowego oraz konto w jednym z skonfigurowanych źródeł mógł zalogować się na dowolne konto. Problem został naprawiony w wymienionych wersjach.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do kont użytkowników, co może prowadzić do wycieku danych lub innych poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 2025.12.6, 2026.2.4 lub 2026.5.1, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

authentik is an open-source identity provider. Prior to versions 2025.12.6, 2026.2.4, and 2026.5.1, an attacker with the ability to change a source connection, and an account in one of the configured sources can log into any account. This issue has been patched in versions 2025.12.6, 2026.2.4, and 2026.5.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS