Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02654

Опубликовано: 02 мар. 2023
Источник: fstec
CVSS3: 7.1
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость службы OpenID Connect Login программного средства для управления идентификацией и доступом Keycloak связана с некорректной реализацией алгоритма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать новые токены сеанса и оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Red Hat Inc.

Наименование ПО

Red Hat Single Sign-On
Keycloak

Версия ПО

7 (Red Hat Single Sign-On)
7.6 (Red Hat Single Sign-On)
до 21.0.1 (Keycloak)
22.0.1 (Keycloak)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программного средства управления идентификацией и доступом Keycloak:
Обновление до версии 21.0.1 или новее
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-0264

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 88%
0.03942
Низкий

7.1 High

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-0264

CVSS3: 4.6
redhat
почти 3 года назад

A flaw was found in Keycloaks OpenID Connect user authentication, which may incorrectly authenticate requests. An authenticated attacker who could obtain information from a user request within the same realm could use that data to impersonate the victim and generate new session tokens. This issue could impact confidentiality, integrity, and availability.

nvd логотип

CVE-2023-0264

CVSS3: 5
nvd
больше 2 лет назад

A flaw was found in Keycloaks OpenID Connect user authentication, which may incorrectly authenticate requests. An authenticated attacker who could obtain information from a user request within the same realm could use that data to impersonate the victim and generate new session tokens. This issue could impact confidentiality, integrity, and availability.

debian логотип

CVE-2023-0264

CVSS3: 5
debian
больше 2 лет назад

A flaw was found in Keycloaks OpenID Connect user authentication, whic ...

github логотип

GHSA-9g98-5mj6-f9mv

CVSS3: 8.7
github
почти 3 года назад

Keycloak vulnerable to user impersonation via stolen UUID code

EPSS

Процентиль: 88%
0.03942
Низкий

7.1 High

CVSS3

6.5 Medium

CVSS2