Authelia'daki Güvenlik Açığı
Authelia, iki faktörlü kimlik doğrulama ve web portalı üzerinden tek oturum açma (SSO) gibi özellikler aracılığıyla uygulamalara güvenli erişim sağlamak için tasarlanmış açık kaynaklı bir kimlik doğrulama ve yetkilendirme sunucusudur . Web uygulamaları için kimlik ve erişim yönetiminde (IAM) önemli bir rol oynar.
CVE-2025-24806, kullanıcıların hem kullanıcı adlarını hem de e-posta adreslerini kullanarak oturum açmalarına izin verildiğinde Authelia'nın düzenleme sistemini etkileyen bir güvenlik açığıdır. Düzenleme sistemi bu oturum açma yöntemlerini ayrı olaylar olarak ele alır ve bir saldırganın parolaları tahmin etmek için kaba kuvvet yöntemlerini kullanarak yapabileceği girişim sayısını etkili bir şekilde iki katına çıkarır . Bu güvenlik açığı, düzenleme yasaklarının görünür göstergelerini sağlamaz ve yanlış kimlik bilgileri veya etkin bir yasak nedeniyle oturum açma başarısızlıkları arasında ayrım yapmayı zorlaştırır .
Bu güvenlik açığının hesap güvenliği üzerindeki etkisi asgari düzeydedir, ancak iki faktörlü kimlik doğrulamanın gerekli olmadığı ve zayıf parolaların kullanıldığı senaryolarda artar. Bu gibi durumlarda, saldırganların parolaları zorla ele geçirmesi biraz daha kolay hale gelir . Ancak, düzenleme yasakları için kullanıcıya dönük göstergelerin olmaması, saldırganların girişimlerinin bir yasak veya yanlış kimlik bilgileri tarafından engellenip engellenmediğini belirlemesini zorlaştırarak riski azaltır .
CVE-2025-24806'yı gidermek için kullanıcıların Authelia'yı 4.38.19 veya 4.39.0 sürümlerine güncellemeleri önerilir . Yükseltme yapamayanlar için iki geçici önlem alınabilir:
: Varsayılan ayarları daha kısa veya daha az sıklıkta düzenleme yasaklarına yol açacak şekilde değiştirmeyin. Varsayılan ayarlar, istismar olasılığını etkili bir şekilde azaltır .
: Kullanıcıların e-posta adresleri aracılığıyla oturum açma yeteneğini devre dışı bırakın. Bu, düzenleme sisteminin kullanıcı adı ve e-posta oturum açmalarını ayrı olaylar olarak ele almasını önler .
Bir kuruluşun dahili web uygulamalarına erişimi yönetmek için Authelia'yı kullandığı bir senaryoyu düşünün. Kuruluş, kullanıcıların hem kullanıcı adlarını hem de e-posta adreslerini kullanarak oturum açmalarına izin verir. Bir saldırgan, birden fazla kombinasyon deneyerek bir kullanıcının parolasını kaba kuvvetle ele almaya çalışır. Authelia bu oturum açma yöntemlerini ayrı ayrı ele aldığından, saldırgan bir düzenleme yasağını tetiklemeden önce deneme sayısını etkili bir şekilde iki katına çıkarabilir. Ancak, kuruluş e-posta oturum açmayı devre dışı bırakırsa veya Authelia'nın yamalı bir sürümüne yükseltirse, güvenlik açığı azaltılır ve başarılı kaba kuvvet saldırıları riski azaltılır.
Çözüm
CVE-2025-24806, güncel güvenlik yamalarını sürdürmenin ve istismarı önlemek için kimlik doğrulama sistemlerini dikkatlice yapılandırmanın önemini vurgular. Bu güvenlik açığını anlayıp ele alarak, kuruluşlar kimlik doğrulama süreçlerinin güvenliğini artırabilir ve kaba kuvvet saldırılarına karşı korunabilir