Authentik身份验证帐户活动状态不足漏洞CVE-2025-53942

Authentik 是一个开源身份提供商，旨在实现最大的灵活性和适应性，作为全面的解决方案，用于应用程序中实现注册、帐户恢复等功能。

Authentik 可以无缝集成到现有环境中，以添加对新协议的支持，它可轻松集成到现有环境中并支持新协议，而无需进行重大的重新架构。

一、基本情况

Authentik支持OAuth2、SAML、LDAP 和 SCIM提供商，允许为每个应用程序选择适当的协议，具备可定制性和实施任何可能的工作流程。

Authentik为各种协议和集成提供广泛支持，可通过的API、Terraform 或蓝图系统实现一切自动化，用户无需更改流程即可使用 Authentik。

栋科技漏洞库关注到Authentik受影响版本使用OAuth/SAML源身份验证时对帐户活动状态检查不足漏洞CVE-2025-53942，CVSS评分7.1。

二、漏洞分析

CVE-2025-53942漏洞是Authentik在版本2025.4.4及更早版本，以及版本2025.6.0-rc1至2025.6.3中存在的高危型漏洞，漏洞现已被修复。

具体来说，CVE-2025-53942高危漏洞实际源于Authentik受影响版本在使用OAuth/SAML源进行身份验证时，对帐户活动状态的检查不足。

尽管通过OAuth/SAML注册或将其帐户链接到OAuth/SAML提供商的已停用用户即使其帐户已被停用，但仍然保留对系统的部分访问权限。

这就导致了这些账户处于一个半认证状态，虽然无法正常访问API，但重要的是，如果知道应用程序的URL，他们仍旧可以授权应用程序。

为了解决该漏洞，开发者可以在相应的身份验证流的用户登录阶段添加表达式策略，使用如下表达式：

return request.context["pending_user"].is_active

当然，上述方案只是变通方法，仅可用于用户处于活动状态时激活用户登录阶段，建议更新至Authentik 2025.4.4和2025.6.4修复该问题。

authentik是一个开源的身份提供商，强调灵活性和通用性，支持广泛的协议。

三、影响范围

Authentik <= 2025.4.4

2025.6.0-rc1 <=Authentik <=2025.6.3

四、修复建议

Authentik >= 2025.4.4

Authentik >= 2025.6.4

五、参考链接

管理员已设置登录后刷新可查看