CVE-2026-49448
KrytyczneCVSS 9.8Streszczenie
W aplikacji authentik, będącej otwartoźródłowym dostawcą tożsamości, przed wersjami 2025.12.6, 2026.2.4 i 2026.5.1 istniała możliwość ominięcia etapu źródłowego poprzez wysłanie pustego żądania POST. Problem ten został naprawiony w wymienionych wersjach.
Ocena ryzyka
Ominięcie etapu źródłowego może prowadzić do nieautoryzowanego dostępu do systemu, co stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 2025.12.6, 2026.2.4 lub 2026.5.1, aby zabezpieczyć system przed tymi lukami.
Oryginalny opis (angielski, źródło NVD)
authentik is an open-source identity provider. Prior to versions 2025.12.6, 2026.2.4, and 2026.5.1, the Source stage can be bypassed by sending an empty POST. This issue has been patched in versions 2025.12.6, 2026.2.4, and 2026.5.1.

