CRITICALCVE-2021-32637CVSS 10

Authelia vulnerable a una autenticación omitida con una URI de solicitud malformada en nginx

Q: What is CVE-2021-32637 — Authentication Bypass in Authelia v4?

CVE-2021-32637 is a critical vulnerability in Authelia v4 that allows attackers to bypass authentication when using nginx's `ngx_http_auth_request_module` through crafted HTTP requests.

Q: Am I affected by CVE-2021-32637 in Authelia v4?

You are affected if you are using Authelia v4 with nginx's `ngx_http_auth_request_module` and have not upgraded to version 4.29.3 or applied the backport patch.

Q: How do I fix CVE-2021-32637 in Authelia v4?

Upgrade Authelia to version 4.29.3 or apply the provided git patch for version 4.25.1. Test thoroughly after applying the fix.

Q: Is CVE-2021-32637 being actively exploited?

While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation make it a potential target.

Q: Where can I find the official Authelia advisory for CVE-2021-32637?

Refer to the official Authelia security advisory on their website or GitHub repository for detailed information and updates: https://github.com/authelia/authelia/security/advisories/GHSA-839w-5795-643x

Plataforma

Componente

github.com/authelia/authelia/v4

Corregido en

4.0.1

4.29.3

AI Confidence: highNVDEPSS 0.5%Revisado: may 2026

Ver en NVD

Guardar

CVE-2021-32637 describe una vulnerabilidad de bypass de autenticación en Authelia v4, específicamente cuando se utiliza con el módulo ngxhttpauth_request de Nginx. Esta falla permite a un atacante elaborar solicitudes HTTP malformadas para evadir el mecanismo de autenticación. La vulnerabilidad afecta a versiones anteriores a v4.29.3 y se ha solucionado en esta versión.

Detecta esta CVE en tu proyecto

Sube tu archivo go.mod y te decimos al instante si estás afectado.

Subir go.mod

Impacto y Escenarios de Ataque

El impacto principal de esta vulnerabilidad radica en la capacidad de un atacante para eludir completamente la autenticación en Authelia. Esto significa que un usuario no autorizado podría acceder a recursos protegidos sin necesidad de credenciales válidas. En un entorno donde Authelia se utiliza como un punto de autenticación centralizado, este bypass podría permitir el acceso a múltiples aplicaciones y servicios. La vulnerabilidad se explota mediante la creación de solicitudes HTTP con rutas URI malformadas que engañan al módulo ngxhttpauth_request, impidiendo que Authelia valide correctamente la identidad del usuario. Aunque el problema se centra principalmente en Nginx, la descripción sugiere que otros servidores proxy podrían ser susceptibles si permiten rutas URI malformadas.

Contexto de Explotación

Esta vulnerabilidad ha sido publicada públicamente y se considera de alta prioridad debido a su gravedad (CVSS 10) y la relativa facilidad con la que puede ser explotada. No se ha confirmado la explotación activa en el mundo real a la fecha de esta publicación, pero la disponibilidad de información sobre la vulnerabilidad aumenta el riesgo de que sea explotada. Se recomienda aplicar la mitigación lo antes posible. La vulnerabilidad fue publicada el 20 de diciembre de 2021.

Quién Está en Riesgotraduciendo…

Organizations utilizing Authelia v4 in conjunction with nginx's ngxhttpauthrequestmodule are at risk. This includes environments relying on Authelia for single sign-on (SSO) or multi-factor authentication (MFA) for web applications. Shared hosting environments where nginx configuration is managed by the hosting provider are also potentially vulnerable, as they may be using the affected configuration without explicit awareness.

Pasos de Deteccióntraduciendo…

• linux / server: Monitor nginx access logs for unusual HTTP request patterns, particularly those containing malformed URI paths. Use journalctl -u nginx to check for errors related to authentication requests.

 grep -i 'auth_request' /var/log/nginx/access.log | grep -i 'malformed'

• generic web: Use curl to test authentication endpoints with crafted requests containing unusual characters or URI structures. Examine response headers for unexpected behavior.

curl -v --url 'https://your-authelia-protected-site/some-protected-resource?param=';

Cronología del Ataque

2021-12-20Disclosure
disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido

CISA KEVNO

Exposición en InternetAlta

EPSS

0.46% (64% percentil)

Vector CVSS

¿Qué significan estas métricas?

Attack Vector: Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity: Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required: Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction: Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope: Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality: Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity: Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability: Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentegithub.com/authelia/authelia/v4

Proveedorosv

Rango afectadoCorregido en

>= 4.0.0-alpha1, < 4.29.3 – >= 4.0.0-alpha1, < 4.29.34.0.1

4.0.0-alpha14.29.3

Clasificación de Debilidad (CWE)

CWE-287

Cronología

Reservado2021-05-12
Publicada2021-12-20
Modificada2026-03-13
EPSS actualizado2026-04-02

Mitigación y Workarounds

La solución principal para mitigar esta vulnerabilidad es actualizar Authelia a la versión 4.29.3 o posterior. Esta versión incluye una corrección directa para el problema. Si la actualización a 4.29.3 no es inmediatamente posible debido a problemas de compatibilidad, se puede solicitar un parche específico para versiones anteriores (como 4.25.1) al equipo de Authelia. Como medida temporal, se recomienda revisar la configuración de Nginx para asegurar que las rutas URI sean validadas correctamente y que no se permitan caracteres o formatos inesperados. Monitorear los registros de acceso de Nginx en busca de solicitudes HTTP con rutas URI sospechosas también puede ayudar a detectar intentos de explotación.

Cómo corregirlo

Actualice Authelia a la versión 4.29.3 o superior. Como alternativa, aplique el parche proporcionado o agregue un bloqueo para solicitudes con URI malformados en la configuración del proxy inverso.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2021-32637 — Authentication Bypass in Authelia v4?

CVE-2021-32637 is a critical vulnerability in Authelia v4 that allows attackers to bypass authentication when using nginx's ngxhttpauthrequestmodule through crafted HTTP requests.

Am I affected by CVE-2021-32637 in Authelia v4?

You are affected if you are using Authelia v4 with nginx's ngxhttpauthrequestmodule and have not upgraded to version 4.29.3 or applied the backport patch.

How do I fix CVE-2021-32637 in Authelia v4?

Upgrade Authelia to version 4.29.3 or apply the provided git patch for version 4.25.1. Test thoroughly after applying the fix.

Is CVE-2021-32637 being actively exploited?

While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation make it a potential target.

Where can I find the official Authelia advisory for CVE-2021-32637?

Refer to the official Authelia security advisory on their website or GitHub repository for detailed information and updates: https://github.com/authelia/authelia/security/advisories/GHSA-839w-5795-643x

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis Buscar CVEs