Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02856

Опубликовано: 07 янв. 2020
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость программного средства для управления идентификацией и доступом Keycloak связана с использованием предустановленных регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.

Наименование ПО

Red Hat Single Sign-On
Keycloak

Версия ПО

7.3 (Red Hat Single Sign-On)
7.3 for RHEL 8 (Red Hat Single Sign-On)
7.3 for RHEL 6 (Red Hat Single Sign-On)
до 8.0.0 (Keycloak)
7.3 for RHEL 7 (Red Hat Single Sign-On)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Keycloak:
https://github.com/keycloak/keycloak/commit/9a7c1a91a59ab85e7f8889a505be04a71580777f
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-14837

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 77%
0.01008
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2019-14837

CVSS3: 9.1
redhat
около 6 лет назад

A flaw was found in keycloack before version 8.0.0. The owner of 'placeholder.org' domain can setup mail server on this domain and knowing only name of a client can reset password and then log in. For example, for client name 'test' the email address will be 'service-account-test@placeholder.org'.

nvd логотип

CVE-2019-14837

CVSS3: 9.1
nvd
около 6 лет назад

A flaw was found in keycloack before version 8.0.0. The owner of 'placeholder.org' domain can setup mail server on this domain and knowing only name of a client can reset password and then log in. For example, for client name 'test' the email address will be 'service-account-test@placeholder.org'.

debian логотип

CVE-2019-14837

CVSS3: 9.1
debian
около 6 лет назад

A flaw was found in keycloack before version 8.0.0. The owner of 'plac ...

github логотип

GHSA-cf8f-w2c5-p5jr

CVSS3: 9.1
github
больше 3 лет назад

keycloak vulnerable to unauthorized login via mail server setup

EPSS

Процентиль: 77%
0.01008
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2