| CVE ID | CVE-2024-11623 |
| Data publikacji | 04 lutego 2025 |
| Producent podatnego oprogramowania | goauthentik |
| Nazwa podatnego oprogramowania | authentik |
| Podatne wersje | Wszystkie do 2024.10.4 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu authentik i koordynował proces ujawniania informacji.
Podatność CVE-2024-11623 umożliwia przeprowadzenie ataków typu Stored XSS (Cross-site Scripting). Atakujący, która posiada uprawnienia administratora, może przesłać spreparowany plik SVG, który użyty byłby jako ikona aplikacji. Użytkownik, który skorzystałby z linku prowadzącego do tej ikony, uruchomiłby w swojej przeglądarce skrypt zawarty w pliku SVG.
Podatność została usunięta w wersji 2024.10.4.
Podziękowania
Za zgłoszenie podatności dziękujemy Danielowi Baście (NASK-PIB).
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.