One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8403675 |
| Date de publication | 2023-10-31 16:15:09 (vue: 2023-10-31 19:08:11) |
| Titre | CVE-2023-46249 |
| Texte | Authentik est un fournisseur d'identité open source.Avant les versions 2023.8.4 et 2023.10.2, lorsque l'utilisateur d'administration par défaut a été supprimé, il est potentiellement possible pour un attaquant de définir le mot de passe de l'utilisateur d'administration par défaut sans aucune authentification.Authentik utilise un plan pour créer l'utilisateur d'administration par défaut, qui peut également définir éventuellement le mot de passe des utilisateurs d'administration par défaut \\ 'à partir d'une variable d'environnement.Lorsque l'utilisateur est supprimé, le flux `Initial-SetUp» utilisé pour configurer Authentidik après la première installation de la première installation.Authentidik 2023.8.4 et 2023.10.2 Correction de ce problème.En tant que solution de contournement, assurez-vous que l'utilisateur administrateur par défaut (nom d'utilisateur `akadmin`) existe et dispose d'un jeu de mots de passe.Il est recommandé d'utiliser un mot de passe très fort pour cet utilisateur et de le stocker dans un emplacement sécurisé comme un gestionnaire de mots de passe.Il est également possible de désactiver l'utilisateur pour éviter les connexions en tant qu'Akadmin.
authentik is an open-source Identity Provider. Prior to versions 2023.8.4 and 2023.10.2, when the default admin user has been deleted, it is potentially possible for an attacker to set the password of the default admin user without any authentication. authentik uses a blueprint to create the default admin user, which can also optionally set the default admin users\' password from an environment variable. When the user is deleted, the `initial-setup` flow used to configure authentik after the first installation becomes available again. authentik 2023.8.4 and 2023.10.2 fix this issue. As a workaround, ensure the default admin user (Username `akadmin`) exists and has a password set. It is recommended to use a very strong password for this user, and store it in a secure location like a password manager. It is also possible to deactivate the user to prevent any logins as akadmin. |
| Envoyé | Oui |
| Condensat | 2023 46249 `akadmin` `initial admin after again akadmin also any attacker authentication authentik available becomes been blueprint can configure create cve deactivate default deleted ensure environment exists first fix flow from has identity installation issue like location logins manager open optionally password possible potentially prevent prior provider recommended secure set setup` source store strong use used user username users uses variable versions very when which without workaround |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.