关键信息 漏洞详情 CVE编号: CVE-2023-5253 报告者: SPIBEL-Vorlage (https://github.com/spibel) 漏洞类型: 不足的会话验证,针对远程访问控制端点访问 摘要: 在授权访问RAC端点后,authentik创建一个仅用于单个连接的令牌,并将其发送给客户端。该令牌应绑定到仅对授权连接的用户会话有效的状态,但当前缺少此检查。 影响: 例如,在使用RAC进行屏幕共享时,恶意用户可以通过复制浏览器中显示的URL来访问同一会话。 修复版本: authentik 2025.4.3和2025.6.3修复了此问题。 代码更改 文件修改: - - - - - 主要更改: - 引入了 类,用于过滤和验证令牌。 - 更新了测试用例以确保不同会话之间的正确处理。 - 修改了视图逻辑以包含新的令牌验证步骤。 文档更新 安全公告: 在 中添加了详细的漏洞描述、影响和修复信息。 文档链接: 在 中更新了相关CVE条目的链接。 其他 工作区建议: 推荐减少域中的fisher有效期(例如设置为 ),并启用“断开连接时删除授权”选项。