Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04782

Опубликовано: 11 июн. 2024
Источник: fstec
CVSS3: 8.1
CVSS2: 7.5
EPSS Высокий

Описание

Уязвимость прикладного программного интерфейса программного средства для управления идентификацией и доступом Keycloak связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии путём использования некоторых административных функций

Вендор

Red Hat Inc.

Наименование ПО

Keycloak

Версия ПО

до 24.0.5 (Keycloak)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование средств межсетевого экранирования для ограничения удалённого доступа к программному интерфейсу;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://github.com/keycloak/keycloak/security/advisories/GHSA-2cww-fgmg-4jqc

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.89489
Высокий

8.1 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-3656

CVSS3: 8.1
redhat
больше 1 года назад

A flaw was found in Keycloak. Certain endpoints in Keycloak's admin REST API allow low-privilege users to access administrative functionalities. This flaw allows users to perform actions reserved for administrators, potentially leading to data breaches or system compromise.

nvd логотип

CVE-2024-3656

CVSS3: 8.1
nvd
больше 1 года назад

A flaw was found in Keycloak. Certain endpoints in Keycloak's admin REST API allow low-privilege users to access administrative functionalities. This flaw allows users to perform actions reserved for administrators, potentially leading to data breaches or system compromise.

debian логотип

CVE-2024-3656

CVSS3: 8.1
debian
больше 1 года назад

A flaw was found in Keycloak. Certain endpoints in Keycloak's admin RE ...

github логотип

GHSA-2cww-fgmg-4jqc

CVSS3: 8.1
github
больше 1 года назад

Keycloak's admin API allows low privilege users to use administrative functions

EPSS

Процентиль: 100%
0.89489
Высокий

8.1 High

CVSS3

7.5 High

CVSS2