一、 漏洞 CVE-2024-42490 基础信息
漏洞标题
Authentik对多个API端点的权限不足
来源:AIGC 神龙大模型
漏洞描述信息
authentik 是一个开源的身份提供者。用户可以访问几个无需正确身份验证/授权的 API 终端点。此问题影响的主要 API 终端点包括 /api/v3/crypto/certificatekeypairs/<uuid>/view_certificate/、/api/v3/crypto/certificatekeypairs/<uuid>/view_private_key/ 和 /api/v3/.../used_by/。需要注意的是,所有受影响的 API 终端点都需要对象ID的知识,特别是对于证书而言,非授权用户无法访问。此外,大多数对象的ID是UUIDv4,这意味着它们不容易猜测/枚举。authentik 2024.4.4、2024.6.4 和 2024.8.0 已修复此问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
关键功能的认证机制缺失
来源:AIGC 神龙大模型
漏洞标题
authentik has Insufficient Authorization for several API endpoints
来源:美国国家漏洞数据库 NVD
漏洞描述信息
authentik is an open-source Identity Provider. Several API endpoints can be accessed by users without correct authentication/authorization. The main API endpoints affected by this are /api/v3/crypto/certificatekeypairs/<uuid>/view_certificate/, /api/v3/crypto/certificatekeypairs/<uuid>/view_private_key/, and /api/v3/.../used_by/. Note that all of the affected API endpoints require the knowledge of the ID of an object, which especially for certificates is not accessible to an unprivileged user. Additionally the IDs for most objects are UUIDv4, meaning they are not easily guessable/enumerable. authentik 2024.4.4, 2024.6.4 and 2024.8.0 fix this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
authentik 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
authentik是authentik开源的一个开源身份提供应用程序。 authentik 2024.6.4之前版本和2024.4.4之前版本存在安全漏洞,该漏洞源于用户无需正确的身份验证/授权即可访问多个API端点。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-42490 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-42490 的情报信息