GHSA-2cww-fgmg-4jqc

Опубликовано: 11 июн. 2024

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Keycloak's admin API allows low privilege users to use administrative functions

Users with low privileges (just plain users in the realm) are able to utilize administrative functionalities within Keycloak admin interface. This issue presents a significant security risk as it allows unauthorized users to perform actions reserved for administrators, potentially leading to data breaches or system compromise.

Acknowledgements: Special thanks to Maurizio Agazzini for reporting this issue and helping us improve our project.

Ссылки

Пакеты

Наименование

org.keycloak:keycloak-services

maven

Затронутые версииВерсия исправления

< 24.0.5

24.0.5

EPSS

Процентиль: 100%

0.89489

Высокий

8.1 High

CVSS3

CVE ID

CVE-2024-3656

Дефекты

CWE-200

CWE-269

CWE-284

Связанные уязвимости

CVE-2024-3656

CVSS3: 8.1

redhat

больше 1 года назад

A flaw was found in Keycloak. Certain endpoints in Keycloak's admin REST API allow low-privilege users to access administrative functionalities. This flaw allows users to perform actions reserved for administrators, potentially leading to data breaches or system compromise.

CVE-2024-3656

CVSS3: 8.1

nvd

больше 1 года назад

CVE-2024-3656

CVSS3: 8.1

debian

больше 1 года назад

A flaw was found in Keycloak. Certain endpoints in Keycloak's admin RE ...

BDU:2024-04782

CVSS3: 8.1

fstec

больше 1 года назад

Уязвимость прикладного программного интерфейса программного средства для управления идентификацией и доступом Keycloak, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 100%

0.89489

Высокий

8.1 High

CVSS3

CVE ID

CVE-2024-3656

Дефекты

CWE-200

CWE-269

CWE-284