发布日期：2026-02-12
更新日期：2026-04-09

受影响系统：

authentik authentik < 2025.12.4
authentik authentik < 2025.10.4

描述：

---

CVE(CAN) ID: CVE-2026-25748

authentik是authentik开源的一个开源身份提供应用程序。
authentik 2025.10.4之前版本和2025.12.4之前版本存在身份认证绕过漏洞，该漏洞源于authentik代理提供者在与Traefik或Caddy等反向代理配合使用时，对格式错误的cookie处理不当，未能正确设置认证相关的X-Authentik-*头部，攻击者可利用该漏洞构造恶意的cookie绕过前向认证机制，从而以未授权身份访问后端受保护的应用。

<*链接：https://github.com/goauthentik/authentik/security/advisories/GHSA-fj56-5763-j8pp
*>

建议：

---

厂商补丁：

authentik
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/goauthentik/authentik/security/advisories/GHSA-fj56-5763-j8pp

浏览次数：51
严重程度：0（网友投票）