GHSA-46c8-635v-68r2

Опубликовано: 17 апр. 2024

Источник: github

Github: Прошло ревью

CVSS3: 5.4

Описание

Keycloak Authorization Bypass vulnerability

Due to a permissive regular expression hardcoded for filtering allowed hosts to register a dynamic client, a malicious user with enough information about the environment could benefit and jeopardize an environment with this specific Dynamic Client Registration with TrustedDomain configuration previously unauthorized.

Acknowledgements:

Special thanks to Bastian Kanbach for reporting this issue and helping us improve our security.

Ссылки

Пакеты

Наименование

org.keycloak:keycloak-services

maven

Затронутые версииВерсия исправления

< 22.0.10

22.0.10

Наименование

org.keycloak:keycloak-services

maven

Затронутые версииВерсия исправления

>= 23.0.0, < 24.0.3

24.0.3

EPSS

Процентиль: 53%

0.00299

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2023-6544

Дефекты

CWE-625

Связанные уязвимости

CVE-2023-6544

CVSS3: 5.4

redhat

почти 2 года назад

A flaw was found in the Keycloak package. This issue occurs due to a permissive regular expression hardcoded for filtering which allows hosts to register a dynamic client. A malicious user with enough information about the environment could jeopardize an environment with this specific Dynamic Client Registration and TrustedDomain configuration previously unauthorized.

CVE-2023-6544

CVSS3: 5.4

nvd

почти 2 года назад

CVE-2023-6544

CVSS3: 5.4

debian

почти 2 года назад

A flaw was found in the Keycloak package. This issue occurs due to a p ...

BDU:2024-05695

CVSS3: 5.4

fstec

почти 2 года назад

Уязвимость компонента Client Registration Handler программного средства для управления идентификацией и доступом Keycloak, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 53%

0.00299

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2023-6544

Дефекты

CWE-625