authentik is an open-source identity provider. Prior to versions 2025.12.5 and 2026.2.3, the SAML source response processor (ResponseProcessor.parse()) does not validate the Conditions element on assertions. NotBefore, NotOnOrAfter, and AudienceRestriction are all ignored. This allows replay of expired assertions and acceptance of assertions intended for other service providers. This issue has been patched in versions 2025.12.5 and 2026.2.3.
authentik's SAML response processor fails to validate assertion conditions, allowing replay of expired assertions and acceptance of assertions intended for other service providers. This vulnerability affects versions prior to 2025.12.5 and 2026.2.3, enabling unauthorized access through SAML authentication bypass.
ثغرة في معالج استجابة SAML في authentik تتجاهل عناصر الشروط بما في ذلك NotBefore و NotOnOrAfter و AudienceRestriction. يسمح هذا للمهاجمين بإعادة تشغيل التأكيدات المنتهية الصلاحية وقبول التأكيدات المخصصة لمزودي خدمات آخرين، مما يؤدي إلى الوصول غير المصرح به.
معالج استجابة SAML في authentik لا يتحقق من شروط التأكيد، مما يسمح بإعادة تشغيل التأكيدات المنتهية الصلاحية وقبول التأكيدات المخصصة لمزودي خدمات آخرين. تؤثر هذه الثغرة على الإصدارات السابقة للإصدار 2025.12.5 و 2026.2.3.
Upgrade authentik to version 2025.12.5 or 2026.2.3 or later immediately. Review and audit all SAML authentication logs for suspicious assertion replays. Implement network-level monitoring for SAML traffic anomalies. Verify SAML configuration enforces strict condition validation.
قم بترقية authentik إلى الإصدار 2025.12.5 أو 2026.2.3 أو أحدث على الفور. راجع وتدقيق جميع سجلات المصادقة SAML للبحث عن إعادة تشغيل التأكيدات المريبة. تنفيذ المراقبة على مستوى الشبكة لشذوذ حركة SAML. تحقق من أن إعدادات SAML تفرض التحقق الصارم من الشروط.