Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08198

Опубликовано: 11 сент. 2024
Источник: fstec
CVSS3: 7.7
CVSS2: 6.1
EPSS Высокий

Описание

Уязвимость класса XMLSignatureUtil программного средства для управления идентификацией и доступом Keycloak связана с некорректной обработкой подписанных элементов криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и повысить свои привилегии

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Single Sign-On
Red Hat JBoss Enterprise Application Platform
Red Hat Build of Keycloak
Keycloak

Версия ПО

7 (Red Hat Single Sign-On)
7.6 for RHEL 7 (Red Hat Single Sign-On)
7.6 for RHEL 8 (Red Hat Single Sign-On)
7.6 for RHEL 9 (Red Hat Single Sign-On)
8 (Red Hat JBoss Enterprise Application Platform)
22 (Red Hat Build of Keycloak)
24 (Red Hat Build of Keycloak)
до 25.0.6 (Keycloak)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Keycloak:
https://github.com/keycloak/keycloak/releases/tag/25.0.6
Для программных продуктов RedHat Inc.:
https://access.redhat.com/security/cve/cve-2024-8698

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.79123
Высокий

7.7 High

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-8698

CVSS3: 7.7
redhat
больше 1 года назад

A flaw exists in the SAML signature validation method within the Keycloak XMLSignatureUtil class. The method incorrectly determines whether a SAML signature is for the full document or only for specific assertions based on the position of the signature in the XML document, rather than the Reference element used to specify the signed element. This flaw allows attackers to create crafted responses that can bypass the validation, potentially leading to privilege escalation or impersonation attacks.

nvd логотип

CVE-2024-8698

CVSS3: 7.7
nvd
больше 1 года назад

A flaw exists in the SAML signature validation method within the Keycloak XMLSignatureUtil class. The method incorrectly determines whether a SAML signature is for the full document or only for specific assertions based on the position of the signature in the XML document, rather than the Reference element used to specify the signed element. This flaw allows attackers to create crafted responses that can bypass the validation, potentially leading to privilege escalation or impersonation attacks.

debian логотип

CVE-2024-8698

CVSS3: 7.7
debian
больше 1 года назад

A flaw exists in the SAML signature validation method within the Keycl ...

github логотип

GHSA-xgfv-xpx8-qhcr

CVSS3: 7.7
github
около 1 года назад

Improper Verification of SAML Responses Leading to Privilege Escalation in Keycloak

EPSS

Процентиль: 99%
0.79123
Высокий

7.7 High

CVSS3

6.1 Medium

CVSS2