Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10706

Опубликовано: 28 окт. 2024
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость программного средства для управления идентификацией и доступом Keycloak связана с использованием предустановленных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.

Наименование ПО

Red Hat Build of Keycloak
Keycloak

Версия ПО

24 (Red Hat Build of Keycloak)
до 26.0.6 (Keycloak)
24.0.9 (Red Hat Build of Keycloak)
26.0.6 (Red Hat Build of Keycloak)
26.0 (Red Hat Build of Keycloak)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Keycloak:
https://github.com/keycloak/keycloak/pull/35246/files
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-10451

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 26%
0.00089
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-10451

CVSS3: 5.9
redhat
около 1 года назад

A flaw was found in Keycloak. This issue occurs because sensitive runtime values, such as passwords, may be captured during the Keycloak build process and embedded as default values in bytecode, leading to unintended information disclosure. In Keycloak 26, sensitive data specified directly in environment variables during the build process is also stored as a default values, making it accessible during runtime. Indirect usage of environment variables for SPI options and Quarkus properties is also vulnerable due to unconditional expansion by PropertyMapper logic, capturing sensitive data as default values in all Keycloak versions up to 26.0.2.

nvd логотип

CVE-2024-10451

CVSS3: 5.9
nvd
около 1 года назад

A flaw was found in Keycloak. This issue occurs because sensitive runtime values, such as passwords, may be captured during the Keycloak build process and embedded as default values in bytecode, leading to unintended information disclosure. In Keycloak 26, sensitive data specified directly in environment variables during the build process is also stored as a default values, making it accessible during runtime. Indirect usage of environment variables for SPI options and Quarkus properties is also vulnerable due to unconditional expansion by PropertyMapper logic, capturing sensitive data as default values in all Keycloak versions up to 26.0.2.

debian логотип

CVE-2024-10451

CVSS3: 5.9
debian
около 1 года назад

A flaw was found in Keycloak. This issue occurs because sensitive runt ...

github логотип

GHSA-v7gv-xpgf-6395

CVSS3: 5.9
github
около 1 года назад

Keycloak Build Process Exposes Sensitive Data

EPSS

Процентиль: 26%
0.00089
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2