CVE-2026-48794 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Authelia 访问控制规则匹配逻辑存在缺陷，导致特定边缘情况下规则被跳过。 📉 **后果**：本应被拦截的请求可能获得访问权限，造成**访问控制绕过**。 ⚠️ **注意**：仅在极特定配置下触发，非通用漏洞。

🔍 **CWE**：访问控制绕过 (Access Control Bypass)。 🐛 **缺陷点**：域名规范化处理缺失。 📝 **详情**：在特定条件下，未对请求域名进行标准化，导致基于通配符或用户/组的规则匹配顺序出错，从而跳过更严格的规则。

📦 **组件**：Authelia (开源身份认证/授权服务器)。 🔢 **版本**：**4.36.0 至 4.39.19**。 ✅ **安全版本**：4.39.20 及以上。

🕵️ **黑客能力**：绕过双因素认证 (2FA) 或单点登录 (SSO) 的访问控制。 🔓 **权限提升**：访问本应受限的资源。 📊 **数据风险**：取决于被绕过规则保护的具体应用数据敏感度。

🧗 **门槛**：**极高**。 📋 **苛刻前提**：需同时满足8个条件，包括： 1. 使用“转发授权集成”。 2. 域名结构特殊（会话域名比请求少两段）。 3. 规则配置为“从具体到不具体”且第二条更宽松。 4. 请求URL第二段含**大写字母**（如 `a.B.example.com`）。 5. 代理未规范化主机名。 6. 非 Envoy ExtAuthz 集成。

🚫 **现成Exp**：**无**。 📄 **PoC**：官方未提供通用 PoC。 🌍 **在野利用**：目前**未发现**。 💡 **原因**：利用条件过于苛刻，几乎无法自动化大规模利用。

🔎 **自查特征**： 1. 检查 Authelia 版本是否 < 4.39.20。 2. 审查访问控制规则：是否存在 `*.b.example.com` 和 `*.example.com` 这类嵌套通配符规则？ 3. 检查规则顺序：是否从最具体到最不具体排列？ 4. 检查代理配置：是否在转发前规范化了 Host 头？

🛡️ **官方修复**：**已修复**。 💊 **补丁**：升级至 **4.39.20** 版本。 📢 **来源**：GitHub Security Advisory (GHSA-j748-h363-wqj8)。

🚧 **临时规避**： 1. **升级**：首选方案，直接升级至 4.39.20+。 2. **重构规则**：避免使用嵌套通配符规则（如同时定义 `*.b.example.com` 和 `*.example.com`）。 3. **代理规范化**：确保反向代理在转发请求前，将 Host 头统一转换为小写。 4. **移除敏感宿主**：不应依赖代理转发来保护核心安全控制。

⚡ **优先级**：**中低**。 📉 **理由**：利用条件极其特殊（需特定域名大小写+特定规则配置+特定集成方式），实际攻击面极小。 📅 **建议**：虽不紧急，但作为安全最佳实践，建议尽快升级以消除隐患，并优化访问控制规则配置。