„`html
Zusammenfassung
CVE-2026-40165 ist eine kritische Authentifizierungslücke in der Open-Source Identity Provider Lösung authentik. Durch XML-Comment-Injection in SAML NameID-Werten können Angreifer die Authentifizierung umgehen und auf fremde Benutzerkonten zugreifen. Die Schwachstelle betrifft Versionen bis 2025.12.4 sowie 2026.2.0-rc1 bis 2026.2.2.
Betroffene Systeme
Betroffen sind authentik-Instanzen mit folgenden Voraussetzungen:
- authentik Version 2025.12.4 und früher
- authentik Version 2026.2.0-rc1 bis 2026.2.2
- Konfigurierte SAML-Source
- Aktivierte XML-Signing
- Attacker mit gültigem Konto auf der SAML-Source mit Modifikationsmöglichkeiten des NameID-Wertes
Technische Details
Die Verwundbarkeit entsteht durch fehlerhafte NameID-Extraktion aus SAML-Assertions. authentik verarbeitet den NameID-Wert nicht korrekt, wenn dieser XML-Kommentare enthält. Ein Angreifer kann sein NameID-Attribut (typischerweise Benutzername oder E-Mail) durch Injection von XML-Kommentaren manipulieren:
<!-- Comment -->
Die Verarbeitung interpretiert nur den Text vor dem Kommentar als tatsächlichen NameID-Wert. Dies führt zu einer Truncation des Identifiers. Ein Angreifer könnte beispielsweise sein NameID von attacker@domain.com<!-- -->admin auf attacker@domain.com verkürzen und dadurch andere Konten annehmen.
Empfohlene Massnahmen
Sofortmassnahmen:
- Update auf authentik 2025.12.5 oder 2026.2.3 durchführen
- SAML XML-Signing temporär deaktivieren, falls Update nicht möglich
- Benutzerkontenverwaltung und Login-Logs überwachen auf verdächtige NameID-Muster
- Zugriff auf SAML-Source beschränken, um NameID-Modifikationen zu verhindern
Bewertung
Mit einem CVSS-Score von 8.7 und Netzwerkvektor ist diese Lücke von hoher Priorität. Sie ermöglicht direkten Zugriff auf fremde Benutzerkonten ohne zusätzliche Authentifizierung. Ein zeitnaher Patch ist dringend erforderlich.
„`