Krytyczna podatność w oprogramowaniu authentik

Zespół CERT Polska informuje o krytycznej podatności w oprogramowaniu authentik i zaleca niezwłoczną aktualizację.

Podatność, oznaczona jako CVE-2026-49448 (CVSS 9.8), pozwala atakującemu na ominięcie jednego z etapów uwierzytelniania (Source stage - uwierzytelnianie z wykorzystaniem zewnętrznego dostawcy tożsamości) poprzez wysłanie pustego żądania POST.

Podatność dotyczy oprogramowania authentik w wersjach:

• <= 2025.12.5

• <= 2026.2.3

• <= 2026.5.0

Rekomendujemy niezwłoczną aktualizację oprogramowania do wersji pozbawionych podatności:

• >= 2025.12.6

• >= 2026.2.4

• >= 2026.5.1

Szczegółowe informacje na temat podatności znajdą Państwo w komunikacie producenta: https://github.com/goauthentik/authentik/security/advisories/GHSA-xp7f-xjjx-gwm8