Plataforma
go
Componente
authentik
Corregido en
2024.8.1
2024.6.6
CVE-2024-47070 describe una vulnerabilidad de bypass de autenticación en authentik, una plataforma de identidad de código abierto. Esta falla permite a un atacante eludir el proceso de inicio de sesión de contraseña al manipular el encabezado X-Forwarded-For, lo que podría resultar en el acceso no autorizado a cuentas. La vulnerabilidad afecta a las versiones de authentik anteriores a 2024.8.3 y 2024.6.5, y se ha solucionado en la versión 2024.8.3.
La explotación exitosa de esta vulnerabilidad permite a un atacante iniciar sesión en cualquier cuenta de authentik con un nombre de usuario o dirección de correo electrónico conocido, sin necesidad de la contraseña correcta. Esto se logra mediante la inyección de un encabezado X-Forwarded-For malicioso con una dirección IP no válida (por ejemplo, 'a'). El impacto es significativo, ya que compromete la confidencialidad y la integridad de los datos de los usuarios, así como la seguridad general del sistema. La vulnerabilidad es particularmente preocupante porque requiere que la instancia de authentik confíe en el encabezado X-Forwarded-For, una configuración que, aunque no es predeterminada, es común en entornos con proxies inversos o balanceadores de carga. La falta de validación adecuada de la dirección IP en el encabezado X-Forwarded-For es la causa raíz de la vulnerabilidad.
La vulnerabilidad fue publicada el 27 de septiembre de 2024. Actualmente no se dispone de información sobre una campaña de explotación activa. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera moderada, dado que requiere una configuración específica (confianza en el encabezado X-Forwarded-For) y un conocimiento técnico para la manipulación del encabezado.
Organizations utilizing authentik as an identity provider, particularly those deployed behind reverse proxies or load balancers, are at risk. Environments where the X-Forwarded-For header is trusted without proper validation are especially vulnerable. Shared hosting environments using authentik are also at increased risk due to potential header manipulation.
• linux / server:
journalctl -u authentik | grep -i "X-Forwarded-For"• generic web:
curl -I <authentik_url> | grep X-Forwarded-For• generic web:
Inspect access logs for requests containing unusual or malformed X-Forwarded-For headers.
disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-47070 es actualizar a la versión 2024.8.3 o posterior de authentik. Si la actualización inmediata no es posible debido a problemas de compatibilidad o tiempo de inactividad, se recomienda deshabilitar la confianza en el encabezado X-Forwarded-For en la configuración de authentik, si no es esencial para la funcionalidad del sistema. Otra medida de mitigación es implementar una validación estricta de la dirección IP en el encabezado X-Forwarded-For en el proxy inverso o balanceador de carga que se encuentra frente a la instancia de authentik. Se recomienda monitorear los registros de autenticación en busca de intentos de inicio de sesión sospechosos, especialmente aquellos que involucran direcciones IP no válidas en el encabezado X-Forwarded-For. Después de la actualización, confirme la corrección verificando que el encabezado X-Forwarded-For no permite el bypass de la autenticación.
Actualice authentik a la versión 2024.8.3 o posterior. Alternativamente, actualice a la versión 2024.6.5 o posterior. Esto corrige la vulnerabilidad de omisión de autenticación mediante la cabecera HTTP X-Forwarded-For.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-47070 is a critical vulnerability in authentik versions 2024.6.0–2024.8.2 that allows attackers to bypass password login by manipulating the X-Forwarded-For header, potentially gaining unauthorized access to user accounts.
You are affected if you are running authentik versions 2024.6.0 through 2024.8.2 and your authentik instance trusts the X-Forwarded-For header provided by the attacker.
Upgrade authentik to version 2024.8.3 or later. If immediate upgrading is not possible, implement stricter validation of the X-Forwarded-For header at the reverse proxy level.
While no public exploits are currently known, the ease of exploitation makes it a potential target for opportunistic attackers.
Refer to the authentik security advisory: https://github.com/authentikapp/authentik/security/advisories/GHSA-9864-x49p-643r
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.