GHSA-3qh5-qqj2-c78f

Опубликовано: 30 июн. 2023

Источник: github

Github: Прошло ревью

CVSS3: 7.1

Описание

Keycloak vulnerable to Improper Client Certificate Validation for OAuth/OpenID clients

When a Keycloak server is configured to support mTLS authentication for OAuth/OpenID clients, it does not properly verify the client certificate chain. A client that possesses a proper certificate can authorize itself as any other client and therefore access data that belongs to other clients.

Ссылки

Пакеты

Наименование

org.keycloak:keycloak-services

maven

Затронутые версииВерсия исправления

< 21.1.2

21.1.2

EPSS

Процентиль: 52%

0.00294

Низкий

7.1 High

CVSS3

CVE ID

CVE-2023-2422

Дефекты

CWE-295

Связанные уязвимости

CVE-2023-2422

CVSS3: 5.5

redhat

больше 2 лет назад

A flaw was found in Keycloak. A Keycloak server configured to support mTLS authentication for OAuth/OpenID clients does not properly verify the client certificate chain. A client that possesses a proper certificate can authorize itself as any other client, therefore, access data that belongs to other clients.

CVE-2023-2422

CVSS3: 5.5

nvd

больше 2 лет назад

CVE-2023-2422

CVSS3: 5.5

debian

больше 2 лет назад

A flaw was found in Keycloak. A Keycloak server configured to support ...

BDU:2023-05658

CVSS3: 5.5

fstec

больше 2 лет назад

Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

EPSS

Процентиль: 52%

0.00294

Низкий

7.1 High

CVSS3

CVE ID

CVE-2023-2422

Дефекты

CWE-295