authentik 跨提供商令牌验证问题(CVE-2024-47077)

admin
admin
admin
0
文章
0
评论
2024-09-29 00:52:12 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
authentik 跨提供商令牌验证问题(CVE-2024-47077)

CVE编号

CVE-2024-47077

利用情况

暂无

补丁情况

N/A

披露时间

2024-09-28
漏洞描述
身份验证提供商authentik是一个开源的身份验证平台。在版本低于2024.8.3和版本低于2024.6.5之前,一个应用程序发出的访问令牌可能会被该应用程序窃取并用于冒充任何其他代理提供商的用户。此外,用户可能会窃取他们合法地为一个应用程序颁发的访问令牌,并使用它访问他们无权访问的另一个应用程序。拥有不同信任域或不同访问控制的多个代理提供商应用程序的任何用户都会受到影响。版本2024.8.3和版本2024.6.5解决了这个问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/goauthentik/authentik/blob/70b5a214f2e7205572f914aaf686825...
https://github.com/goauthentik/authentik/blob/70b5a214f2e7205572f914aaf686825...
https://github.com/goauthentik/authentik/commit/22e586bd8cdc3d1db8a0f18314d76...
https://github.com/goauthentik/authentik/commit/57a31b5dd16d4adce716b9878455c...
https://github.com/goauthentik/authentik/security/advisories/GHSA-8gfm-pr6x-pfh9
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-863 授权机制不正确
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-46366利用情况 暂无补丁情况 N/A披露时间 2024-09-28漏洞描述Webkul Krayin CRM 1.3
09-290 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0