Informazioni sul CVE-2022-46172

authentik allows existing authenticated users to create arbitrary accounts

CWE ID: CWE-269

Base Score (CVSS): N/A

CVE: CVE-2022-46172

Descrizione: authentik is an open-source Identity provider focused on flexibility and versatility. In versions prior to 2022.10.4, and 2022.11.4, any authenticated user can create an arbitrary number of accounts through the default flows. This would circumvent any policy in a situation where it is undesirable for users to create new accounts by themselves. This may also affect other applications as these new basic accounts would exist throughout the SSO infrastructure. By default the newly created accounts cannot be logged into as no password reset exists by default. However password resets are likely to be enabled by most installations. This vulnerability pertains to the user context used in the default-user-settings-flow, /api/v3/flows/instances/default-user-settings-flow/execute/. This issue has been fixed in versions 2022.10.4 and 2022.11.4.

Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:L

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 6.3 (Medium)

Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: None, Integrità: Low, Disponibilità: Low.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	N	Network	L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	L	Low	Richiede pochi privilegi.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	C	Changed	La vulnerabilità impatta su componenti esterni.
Confidentiality Impact (C)	N	None	Nessun impatto sulla riservatezza.
Integrity Impact (I)	L	Low	Impatto limitato.
Availability Impact (A)	L	Low	Interferenza limitata.

Riferimenti esterni

https://github.com/goauthentik/authentik/security/advisories/GHSA-hv8r-6w7p-mpc5

Prodotti interessati

goauthentik – authentik

Relazioni con altri prodotti

Produttore:goauthentik
Prodotto: authentik
Anno: 2022
CWE: CWE-269
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2022)