CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-42849

CriticalCVSS 9.3
Published: Updated: Translated: NVD NIST

Summary

W oprogramowaniu authentik, będącym otwartoźródłowym dostawcą tożsamości, przed wersjami 2025.12.5 i 2026.2.3 istniała możliwość wykorzystania podatności XSS w AutosubmitStage z powodu implementacji etapów w SFE (Simple Flow Executor) w celu zwiększenia kompatybilności interfejsu z przestarzałymi przeglądarkami.

Risk Assessment

Wykorzystanie tej podatności mogło prowadzić do nieautoryzowanego dostępu do danych użytkowników oraz ich sesji, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do wersji 2025.12.5 lub 2026.2.3, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami XSS.

Original NVD description (English source)

authentik is an open-source identity provider. Prior to versions 2025.12.5 and 2026.2.3, due to the implementation of stages in the SFE (Simple Flow Executor) in order to make the interface more compatible with legacy browsers, it was possible to use an XSS exploit in the AutosubmitStage. This issue has been patched in versions 2025.12.5 and 2026.2.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS