Plataforma
go
Componente
github.com/authelia/authelia/v4
Corregido en
4.39.16
4.39.16
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Authelia v4, específicamente en versiones hasta la 4.39.15. Esta vulnerabilidad permite la ejecución de scripts maliciosos si la política de seguridad de contenido (CSP) ha sido deshabilitada o modificada de su valor predeterminado seguro. La actualización a la versión 4.39.16 o la correcta configuración de la plantilla CSP mitiga este riesgo.
El impacto de esta vulnerabilidad XSS depende directamente de la configuración de la política de seguridad de contenido (CSP) en Authelia. Si la plantilla CSP no está configurada con el valor predeterminado seguro (vacío), un atacante podría inyectar scripts maliciosos en las páginas web servidas por Authelia. Estos scripts podrían robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o realizar otras acciones maliciosas en nombre del usuario. La severidad se considera baja, ya que requiere una configuración específica y no es un riesgo inherente a todas las instalaciones de Authelia.
Esta vulnerabilidad no se encuentra en el KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de una configuración CSP modificada. No se han reportado públicamente pruebas de concepto (PoC) activas para esta vulnerabilidad, ni se han identificado campañas de explotación en curso. La vulnerabilidad fue publicada el 2026-03-24.
Organizations using Authelia v4 with customized Content Security Policy (CSP) templates are at risk. This includes deployments where the CSP has been intentionally modified or disabled, particularly those with non-standard security configurations. Shared hosting environments where Authelia is deployed alongside other applications may also be at increased risk if CSP settings are inadvertently affected.
• linux / server: Examine Authelia configuration files for non-default csp_template values. Use grep to search for modified CSP settings within /etc/authelia/authelia.yaml or similar configuration locations.
grep -r 'csp_template:' /etc/authelia/authelia.yaml• generic web: Monitor Authelia logs for unusual JavaScript execution patterns or CSP violations. Inspect HTTP response headers for unexpected CSP directives. • generic web: Use a web proxy or browser developer tools to inspect the Content Security Policy header and ensure it is properly configured and not allowing inline scripts or other potentially dangerous sources.
disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Authelia a la versión 4.39.16 o posterior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda encarecidamente establecer la plantilla CSP a un valor vacío (server.headers.csp_template: '') o a una configuración segura y bien definida. Evite cualquier modificación de la plantilla CSP a menos que comprenda completamente las implicaciones de seguridad. Monitoree los registros de Authelia en busca de patrones sospechosos de inyección de scripts.
Actualice a la versión 4.39.16 o regrese a la versión 4.39.14 para mitigar la vulnerabilidad XSS. Si no es posible actualizar o degradar, asegúrese de que las directivas `script-src` y `connect-src` de la política de seguridad de contenido (CSP) no se hayan modificado de manera que permitan la ejecución de scripts no confiables. La configuración predeterminada de CSP imposibilita la explotación de esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33525 is a Cross-Site Scripting (XSS) vulnerability in Authelia v4 affecting versions up to 4.39.15. It arises from misconfigured Content Security Policy (CSP) templates, allowing potential script injection.
You are affected if you are running Authelia v4 versions 4.39.15 or earlier and have modified or disabled the default Content Security Policy (CSP) template.
Upgrade Authelia to version 4.39.16 or later. Alternatively, carefully review and secure your CSP template configuration, ensuring it uses the default safe value or a properly configured alternative.
There are currently no confirmed reports of active exploitation of CVE-2026-33525, but the vulnerability remains a potential risk.
Refer to the official Authelia security advisory for detailed information and updates: [https://github.com/authelia/authelia/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory URL when available)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.