Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05694

Опубликовано: 16 апр. 2024
Источник: fstec
CVSS3: 6
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость модуля единого входа в приложения (SAML) программного средства для управления идентификацией и доступом Keycloak существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)

Вендор

Red Hat Inc.

Наименование ПО

Jboss Fuse
JBoss Data Grid
Red Hat Single Sign-On
JBoss A-MQ
Data Grid
Red Hat Process Automation
Red Hat Integration Service Registry
Red Hat OpenShift GitOps
Decision Manager
Migration Toolkit for Applications
Red Hat Developer Hub
Red Hat Build of Keycloak

Версия ПО

7 (Jboss Fuse)
7 (JBoss Data Grid)
7 (Red Hat Single Sign-On)
7 (JBoss A-MQ)
8 (Data Grid)
7 (Red Hat Process Automation)
- (Red Hat Integration Service Registry)
- (Red Hat OpenShift GitOps)
7 (Decision Manager)
6 (Migration Toolkit for Applications)
- (Red Hat Developer Hub)
22 (Red Hat Build of Keycloak)
7 (Migration Toolkit for Applications)
22.0.10 (Red Hat Build of Keycloak)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://access.redhat.com/security/cve/CVE-2023-6717
https://bugzilla.redhat.com/show_bug.cgi?id=2253952

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 25%
0.00088
Низкий

6 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-6717

CVSS3: 6
redhat
почти 2 года назад

A flaw was found in the SAML client registration in Keycloak that could allow an administrator to register malicious JavaScript URIs as Assertion Consumer Service POST Binding URLs (ACS), posing a Cross-Site Scripting (XSS) risk. This issue may allow a malicious admin in one realm or a client with registration access to target users in different realms or applications, executing arbitrary JavaScript in their contexts upon form submission. This can enable unauthorized access and harmful actions, compromising the confidentiality, integrity, and availability of the complete KC instance.

nvd логотип

CVE-2023-6717

CVSS3: 6
nvd
почти 2 года назад

A flaw was found in the SAML client registration in Keycloak that could allow an administrator to register malicious JavaScript URIs as Assertion Consumer Service POST Binding URLs (ACS), posing a Cross-Site Scripting (XSS) risk. This issue may allow a malicious admin in one realm or a client with registration access to target users in different realms or applications, executing arbitrary JavaScript in their contexts upon form submission. This can enable unauthorized access and harmful actions, compromising the confidentiality, integrity, and availability of the complete KC instance.

debian логотип

CVE-2023-6717

CVSS3: 6
debian
почти 2 года назад

A flaw was found in the SAML client registration in Keycloak that coul ...

github логотип

GHSA-8rmm-gm28-pj8q

CVSS3: 6
github
почти 2 года назад

Keycloak Cross-site Scripting (XSS) via assertion consumer service URL in SAML POST-binding flow

EPSS

Процентиль: 25%
0.00088
Низкий

6 Medium

CVSS3

6.8 Medium

CVSS2