Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03210

Опубликовано: 10 июл. 2019
Источник: fstec
CVSS3: 8.1
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость компонента SAML broker программного средства для управления идентификацией и доступом Keycloak связана с неправильной аутентификацией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к системе путем изменения SAML-ответа

Вендор

Red Hat Inc.

Наименование ПО

Keycloak
Red Hat Single Sign-On

Версия ПО

до 6.0.1 включительно (Keycloak)
7.0: 7.3 (Red Hat Single Sign-On)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10201

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00136
Низкий

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2019-10201

CVSS3: 8.1
redhat
больше 6 лет назад

It was found that Keycloak's SAML broker, versions up to 6.0.1, did not verify missing message signatures. If an attacker modifies the SAML Response and removes the <Signature> sections, the message is still accepted, and the message can be modified. An attacker could use this flaw to impersonate other users and gain access to sensitive information.

nvd логотип

CVE-2019-10201

CVSS3: 8.1
nvd
больше 6 лет назад

It was found that Keycloak's SAML broker, versions up to 6.0.1, did not verify missing message signatures. If an attacker modifies the SAML Response and removes the <Signature> sections, the message is still accepted, and the message can be modified. An attacker could use this flaw to impersonate other users and gain access to sensitive information.

debian логотип

CVE-2019-10201

CVSS3: 8.1
debian
больше 6 лет назад

It was found that Keycloak's SAML broker, versions up to 6.0.1, did no ...

github логотип

GHSA-4fgq-gq9g-3rw7

CVSS3: 8.1
github
больше 6 лет назад

Improper Verification of Cryptographic Signature in keycloak

EPSS

Процентиль: 34%
0.00136
Низкий

8.1 High

CVSS3

8.5 High

CVSS2