GHSA-69fp-7c8p-crjr

Опубликовано: 10 июн. 2024

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

Keycloak exposes sensitive information in Pushed Authorization Requests (PAR)

A flaw was found in Keycloak in the OAuth 2.0 Pushed Authorization Requests (PAR). Client provided parameters were found to be included in plain text in the KC_RESTART cookie returned by the authorization server's HTTP response to a request_uri authorization request. This could lead to an information disclosure vulnerability.

Ссылки

Пакеты

Наименование

org.keycloak:keycloak-services

maven

Затронутые версииВерсия исправления

< 24.0.5

24.0.5

EPSS

Процентиль: 66%

0.00516

Низкий

7.5 High

CVSS3

CVE ID

CVE-2024-4540

Дефекты

CWE-200

CWE-922

Связанные уязвимости

CVE-2024-4540

CVSS3: 7.5

redhat

больше 1 года назад

A flaw was found in Keycloak in OAuth 2.0 Pushed Authorization Requests (PAR). Client-provided parameters were found to be included in plain text in the KC_RESTART cookie returned by the authorization server's HTTP response to a `request_uri` authorization request, possibly leading to an information disclosure vulnerability.

CVE-2024-4540

CVSS3: 7.5

nvd

больше 1 года назад

CVE-2024-4540

CVSS3: 7.5

debian

больше 1 года назад

A flaw was found in Keycloak in OAuth 2.0 Pushed Authorization Request ...

BDU:2024-04939

CVSS3: 7.5

fstec

больше 1 года назад

Уязвимость механизма авторизации OAuth 2.0 Pushed Authorization Requests программного средства для управления идентификацией и доступом Keycloak, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 66%

0.00516

Низкий

7.5 High

CVSS3

CVE ID

CVE-2024-4540

Дефекты

CWE-200

CWE-922