Résumé
Le 21 mai 2026, une faille de sécurité a été identifiée dans authentik, un serveur d’identité open source (Identity Provider) qui fournit du SSO, OAuth2/OpenID Connect et la gestion des accès pour centraliser et sécuriser l’authentification des utilisateurs.
Cette faille permet à un attaquant de contourner l’authentification via une injection de commentaire XML dans un identifiant SAML, ce qui peut faire croire au système qu’il ne voyait qu’une partie de l’identifiant. En pratique, cela pouvait permettre à un attaquant d’accéder au compte d’un autre utilisateur.
Référencée sous CVE-2026-40165, cette vulnérabilité est de type contournement de l’authentification.
Solutions
Il est recommandé d’appliquer les correctifs indiqués par le fournisseur.
La faille est activement exploitée : oui
Details techniques
Score CVSS : 8.7/10 (HIGH)
EPSS : 0.02%
Systèmes affectés
authentik versions antérieures à 2025.12.5
authentik versions supérieures ou égales à 2026.2.0-rc1, jusqu’à 2026.2.3
Documentation
NIST NVD : https://nvd.nist.gov/vuln/detail/CVE-2026-40165
CVE Details : https://www.cvedetails.com/cve/CVE-2026-40165/
Référence CVE : https://www.cve.org/CVERecord?id=CVE-2026-40165
CWE : https://www.cvedetails.com/cwe-details/CWE-91/