Plataforma
go
Componente
authentik
Corregido en
2021.3.2
2025.10.1
2025.10.1
CVE-2026-25227 es una vulnerabilidad de Ejecución Remota de Código (RCE) que afecta a authentik, un proveedor de identidad de código abierto. Un usuario con permisos delegados para ver Mapeos de Propiedades o Políticas de Expresión puede ejecutar código arbitrario dentro del contenedor del servidor authentik a través del endpoint de prueba. Esta vulnerabilidad afecta a las versiones desde 2021.3.1 hasta, pero sin incluir, 2025.12.4. La vulnerabilidad ha sido corregida en la versión 2025.12.4.
La explotación exitosa de esta vulnerabilidad permite a un atacante ejecutar código arbitrario en el servidor authentik. Esto podría resultar en el control total del servidor, el acceso a datos confidenciales almacenados en authentik, o la modificación de la configuración de autenticación, comprometiendo la seguridad de toda la infraestructura que depende de authentik para la autenticación. El atacante podría, por ejemplo, inyectar código malicioso que se ejecute cada vez que un usuario se autentique, permitiéndole robar credenciales o realizar otras acciones maliciosas. La capacidad de ejecutar código arbitrario otorga al atacante un alto grado de control sobre el sistema.
Esta vulnerabilidad fue publicada el 2026-02-12. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de RCE la convierte en un objetivo atractivo para los atacantes. La disponibilidad de un endpoint de prueba facilita la explotación, reduciendo la barrera de entrada para los atacantes. Es importante aplicar la mitigación lo antes posible para evitar posibles ataques.
Organizations relying on authentik for identity management, particularly those with delegated permissions configured, are at risk. Shared hosting environments where multiple users have access to authentik instances are especially vulnerable, as a compromised user on one instance could potentially impact others. Legacy authentik deployments with outdated permission configurations are also at increased risk.
• linux / server:
journalctl -u authentik -g 'test endpoint'• linux / server:
ps aux | grep authentik | grep 'test endpoint'• generic web:
curl -I https://<authentik_server>/admin/property-mappings/test• generic web:
curl -I https://<authentik_server>/admin/expression-policies/testdisclosure
patch
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-25227 es actualizar a la versión 2025.12.4 de authentik. Si la actualización a la última versión no es inmediatamente posible, considere restringir el acceso al endpoint de prueba solo a usuarios autorizados. Implementar una política de mínimo privilegio para los permisos de autentik, limitando los permisos de 'Ver Mapeo de Propiedad' y 'Ver Política de Expresión' a aquellos que realmente los necesiten. Monitorear los logs de authentik en busca de actividad sospechosa relacionada con el endpoint de prueba. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el endpoint de prueba ya no permite la ejecución de código arbitrario.
Actualice authentik a la versión 2025.8.6, 2025.10.4 o 2025.12.4, o a una versión posterior. Esto corrige la vulnerabilidad de ejecución remota de código a través de la inyección de claves de contexto en el endpoint de prueba de PropertyMapping.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25227 is a critical Remote Code Execution vulnerability in authentik, allowing authenticated users with specific permissions to execute arbitrary code on the server.
You are affected if you are running authentik versions 2021.3.1 through 2025.12.4 and have users with 'Can view * Property Mapping' or 'Can view Expression Policy' permissions.
Upgrade to authentik version 2025.12.4 or later. As a temporary workaround, restrict access to the test endpoint or revoke the vulnerable permissions.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the authentik security advisory on their official website: [https://github.com/authentikapp/authentik/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual URL when available)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.