从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Insecure default configuration for OAuth2 Redirect URIs - 严重性:High - 发布者:BeryJu - 发布时间:2天前 - CVE编号:CVE-2024-52289 - 受影响版本:< 2024.10.3 和 < 2024.8.5 - 修复版本:2024.10.3 和 2024.8.5 2. 漏洞细节: - 描述:OAuth2 provider in authentik的Redirect URIs配置不安全。 - 影响:当没有配置Redirect URIs时,authentik会自动使用第一个redirect_uri值作为允许的Redirect URI,并且不考虑特殊字符的RegEx匹配。 - 攻击示例:如果Redirect URIs设置为https://foo.example.com,攻击者可以注册一个域名fooaexample.com,通过RegEx匹配验证。 3. 修复措施: - 修复版本:2024.8.5 和 2024.10.3 - 修复方法:修复版本通过改变Redirect URIs的保存格式,允许严格或RegEx检查。 4. 工作原理: - 工作原理:修复版本通过数据库和API更改,强制使用严格检查。 5. 建议: - 建议:在配置OAuth2提供者时,确保正确配置Redirect URIs,避免使用RegEx匹配。 6. 联系方式: - 联系方式:如有任何问题或评论,请通过security@goauthentik.io联系。 这些信息可以帮助理解漏洞的性质、影响范围以及修复措施。