Vulnerabilidad en el software Authentik | Cert Polska

Vulnerability Summary: CVE-2024-11623

Overview
The vulnerability identified as CVE-2024-11623 was publicly disclosed on February 4, 2025, by the software provider goauthentik. It affects the Authentik product, specifically all versions released before 2024.10.4. The vulnerability type is classified under the Common Weakness Enumeration (CWE) as CWE-79, which pertains to inadequate neutralization of input during web page generation, leading to Cross-Site Scripting (XSS) vulnerabilities.

Vulnerability Details
Reported to CERT Polska, the vulnerability allows for stored XSS attacks via specially crafted SVG file uploads that are utilized as application icons within the Authentik system. This means that an authenticated attacker with administrative privileges can upload a malicious SVG file. When other users within the environment subsequently click a link referencing the affected icon, the embedded script within the SVG executes in their browsers, thereby compromising their session and potentially leading to further exploitation.

This vulnerability poses a significant risk as it can be leveraged to execute arbitrary scripts in the context of an affected user’s session, allowing attackers to hijack accounts, steal sensitive data, or perform unauthorized actions. It is essential to note that the problem was effectively mitigated with the release of version 2024.10.4 of the product.

Mitigation and Remediation
To protect against this vulnerability, users are advised to upgrade to version 2024.10.4 or later as soon as possible. By archiving and properly maintaining a strict updating policy, organizations can prevent potential exploitation of this and other vulnerabilities. Additionally, implementing web application firewalls and proper input validation measures can help mitigate the risk of similar vulnerabilities in the future.

Acknowledgements
The disclosure and responsible reporting of the vulnerability were handled by Daniel Basta (Nask-PIB), whose efforts contributed significantly to the identification and coordination of the disclosure process. This highlights the importance of collaboration between researchers, organizations, and CERTs to ensure timely information sharing and mitigation strategies.

Additional Context
CVE-2024-11623 is a reminder of the constant security challenges faced in modern web applications. As web environments evolve with complex functionalities, the need for robust security measures becomes paramount. XSS vulnerabilities are among the most common web application vulnerabilities, and their potential impact can be devastating. Thus, organizations must prioritize regular security audits, employee training on security hygiene, and strong application development practices to safeguard their digital assets.

For further details about coordinated vulnerability disclosure processes, users can refer to the CERT Polska website at https://cert.pl/en/cvd/. This site provides insights into the methodologies employed in identifying and addressing vulnerabilities efficiently and responsibly.

In summary, staying informed about vulnerabilities like CVE-2024-11623 and actively maintaining software updates can safeguard against attacks and secure user interactions within web platforms. Organizations must foster an environment of security awareness and proactive measures to mitigate risks associated with web application development and management.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Contec Health CMS8000 Monitor de pacientes

Resumen Ejecutivo El informe trata sobre varias vulnerabilidades críticas en los Monitores de Pacientes CMS8000 de Contec Health, con una puntuación CVSS de 9.3, indicando

...
Más detalle de la noticia

Imagen general de seguridad 28.1.2025: las amenazas híbridas causan incertidumbre e interrupción

La situación actual presentada en el análisis del Centro de Seguridad de la Suministro (HVK) destaca el impacto de las amenazas híbridas que generan incertidumbre

...
Más detalle de la noticia

VMware Security Avisory (AV25-050) – Centro canadiense de seguridad cibernética

El 30 de enero de 2025, VMware emitió un aviso de seguridad crucial para abordar vulnerabilidades detectadas en varios de sus productos. Este anuncio es

...
Más detalle de la noticia

Schneider Electric System Monitor Application in Harmony y Pro-Face PS5000 Legacy Industrial PCS

Resumen Ejecutivo sobre Vulnerabilidad de Schneider Electric Evaluación General Schneider Electric ha identificado una vulnerabilidad crítica en sus sistemas industriales, concretamente en dos productos: Harmony

...
Más detalle de la noticia

Vulnerabilidad en Sonicwall Netextender (30 de enero de 2025)

Se ha identificado una vulnerabilidad en SonicWall NetExtender, un software de VPN que permite a los usuarios conectarse de manera segura a redes corporativas. Esta

...
Más detalle de la noticia

Antes de declarar, verifique la validez de los documentos y la existencia de códigos PIN

La declaración de ingresos en Estonia para el año fiscal 2024 está programada para comenzar el 15 de febrero y concluir el 30 de abril.

...
Más detalle de la noticia

CERT-SE PGP Key 2025-CERT-SE

On January 30, 2025, CERT-SE announced the replacement of its PGP public key, effective February 1, 2025. PGP (Pretty Good Privacy) is a widely used

...
Más detalle de la noticia

Análisis: el apoyo ayudó a aumentar el nivel de seguridad cibernética para las empresas

En el contexto de la ciberseguridad, las pequeñas y medianas empresas (PYME) tuvieron la oportunidad de solicitar ayudas financieras en 2023-2024, con un límite de

...
Más detalle de la noticia

Vulnerabilidad en el antivirus de Microworld Escan para Linux

Resumen de Vulnerabilidad en el Antivirus ESCan de Microworld en Linux Clasificación: Crítica CVE: CVE-2025-0798 CVSS V4.0: 9.2 Solución: No definida Madurez de explotación: Prueba

...
Más detalle de la noticia

Los chips de Apple pueden ser pirateados para filtrar secretos de Gmail, iCloud y más

Apple ha visto recientemente la detección de dos vulnerabilidades significativas en sus chips diseñados para Mac, iPhones y iPads, que son capaces de filtrar información

...
Más detalle de la noticia

ISC Bind Security Advisory (AV25-048)

El 29 de enero de 2025, la ISC (Internet Systems Consortium) emitió un importante aviso de seguridad relacionado con vulnerabilidades en varias versiones de su

...
Más detalle de la noticia

CISA agrega una vulnerabilidad explotada conocida al catálogo

CISA (Cybersecurity and Infrastructure Security Agency) ha actualizado su Catálogo de Vulnerabilidades Explotadas Conocidas, añadiendo una nueva vulnerabilidad que se ha confirmado está siendo activamente

...
Más detalle de la noticia

Orientación conjunta sobre credenciales de contenido y fortalecimiento de la integridad multimedia en la era generativa de inteligencia artificial

El Centro Canadiense para la Seguridad Cibernética (Cyber Center) ha colaborado con la Agencia de Seguridad Nacional (NSA) de los Estados Unidos y otros aliados

...
Más detalle de la noticia

Aviso de seguridad de TeamViewer (AV25-047) – Centro canadiense de seguridad cibernética

El 28 de enero de 2025, TeamViewer emitió un aviso de seguridad importante relacionado con una vulnerabilidad detectada en varias versiones de sus productos, específicamente

...
Más detalle de la noticia

Preservar la integridad en la era de la IA generativa

La nueva guía de ‘credenciales de contenido’ de la NSA se presenta como una respuesta a la creciente preocupación por la erosión de la confianza

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita