Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01978

Опубликовано: 01 мар. 2023
Источник: fstec
CVSS3: 8.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость службы OpenID Connect Login программного средства для управления идентификацией и доступом Keycloak существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию, изменить внешний вид веб-страницы и провести фишинговую атаку

Вендор

Red Hat Inc.

Наименование ПО

Keycloak
Red Hat Single Sign-On

Версия ПО

от 19.0.3 до 20.0.4 включительно (Keycloak)
7.6 (Red Hat Single Sign-On)
22.0.1 (Keycloak)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций производителя:
https://access.redhat.com/security/cve/cve-2022-4137

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00401
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2022-4137

CVSS3: 8.1
redhat
почти 3 года назад

A reflected cross-site scripting (XSS) vulnerability was found in the 'oob' OAuth endpoint due to incorrect null-byte handling. This issue allows a malicious link to insert an arbitrary URI into a Keycloak error page. This flaw requires a user or administrator to interact with a link in order to be vulnerable. This may compromise user details, allowing it to be changed or collected by an attacker.

nvd логотип

CVE-2022-4137

CVSS3: 8.1
nvd
больше 2 лет назад

A reflected cross-site scripting (XSS) vulnerability was found in the 'oob' OAuth endpoint due to incorrect null-byte handling. This issue allows a malicious link to insert an arbitrary URI into a Keycloak error page. This flaw requires a user or administrator to interact with a link in order to be vulnerable. This may compromise user details, allowing it to be changed or collected by an attacker.

debian логотип

CVE-2022-4137

CVSS3: 8.1
debian
больше 2 лет назад

A reflected cross-site scripting (XSS) vulnerability was found in the ...

github логотип

GHSA-9hhc-pj4w-w5rv

CVSS3: 8.1
github
почти 3 года назад

Keycloak Cross-site Scripting on OpenID connect login service

EPSS

Процентиль: 60%
0.00401
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2

Уязвимость BDU:2023-01978