GHSA-458h-wv48-fq75

Опубликовано: 13 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.4

Описание

Keycloak vulnerable to cross-site scripting via the state parameter

A flaw was found in Keycloak 3.4.3.Final, 4.0.0.Beta2, 4.3.0.Final. When using response_mode=form_post it is possible to inject arbitrary Javascript-Code via the 'state'-parameter in the authentication URL. This allows an XSS-Attack upon succesfully login.

Ссылки

Пакеты

Наименование

org.keycloak:keycloak-parent

maven

Затронутые версииВерсия исправления

<= 3.4.3.Final

Отсутствует

Наименование

org.keycloak:keycloak-parent

maven

Затронутые версииВерсия исправления

>= 4.0.0.Beta1, <= 4.0.0.Beta2

Отсутствует

Наименование

org.keycloak:keycloak-parent

maven

Затронутые версииВерсия исправления

= 4.3.0.Final

Отсутствует

EPSS

Процентиль: 54%

0.00306

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2018-14655

Дефекты

CWE-79

Связанные уязвимости

CVE-2018-14655

CVSS3: 4.6

redhat

около 7 лет назад

A flaw was found in Keycloak 3.4.3.Final, 4.0.0.Beta2, 4.3.0.Final. When using 'response_mode=form_post' it is possible to inject arbitrary Javascript-Code via the 'state'-parameter in the authentication URL. This allows an XSS-Attack upon succesfully login.

CVE-2018-14655

CVSS3: 4.6

nvd

около 7 лет назад

CVE-2018-14655

CVSS3: 4.6

debian

около 7 лет назад

A flaw was found in Keycloak 3.4.3.Final, 4.0.0.Beta2, 4.3.0.Final. Wh ...

EPSS

Процентиль: 54%

0.00306

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2018-14655

Дефекты

CWE-79