从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Insufficient validation of OAuth scopes for client_credentials and device_code grants - 漏洞级别:Moderate - 漏洞描述:当使用client_credentials或device_code OAuth授予时,攻击者可能从authentik获取未在authentik中配置的权限的令牌。 2. 受影响的版本: - 受影响的版本:< 2024.10.3 - 已修复的版本:2024.10.3, 2024.8.5 3. 漏洞细节: - device_code授予:使用device_code授予时,用户可以授权一组允许的权限,然后获取具有不同权限集的令牌,包括未在authentik中配置的权限。这可能会被用于向信任authentik令牌的其他系统发送请求并代表用户执行恶意操作。 - client_credentials授予:使用client_credentials授予时,由于没有用户授权过程,authentik不会验证请求的权限,允许发行具有未在authentik中配置的权限的令牌。这可能会被用于在其他系统中执行恶意操作。 4. 补丁: - 补丁版本:authentik 2024.8.5 和 2024.10.3 修复了这个问题。 5. 联系信息: - 联系邮箱:security@goauthentik.io 6. 漏洞编号: - CVE编号:CVE-2024-52287 - CWE编号:CWE-285 这些信息可以帮助理解漏洞的性质、影响范围以及如何通过更新到已修复的版本来解决这个问题。