Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu authentik
04 lutego 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-11623
Data publikacji 04 lutego 2025
Producent podatnego oprogramowania goauthentik
Nazwa podatnego oprogramowania authentik
Podatne wersje Wszystkie do 2024.10.4
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu authentik i koordynował proces ujawniania informacji.

Podatność CVE-2024-11623 umożliwia przeprowadzenie ataków typu Stored XSS (Cross-site Scripting). Atakujący, która posiada uprawnienia administratora, może przesłać spreparowany plik SVG, który użyty byłby jako ikona aplikacji. Użytkownik, który skorzystałby z linku prowadzącego do tej ikony, uruchomiłby w swojej przeglądarce skrypt zawarty w pliku SVG.

Podatność została usunięta w wersji 2024.10.4.

Podziękowania

Za zgłoszenie podatności dziękujemy Danielowi Baście (NASK-PIB).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.