CVE-2021-3827

Опубликовано: 23 авг. 2022

Источник: nvd

CVSS3: 6.8

EPSS Низкий

Описание

A flaw was found in keycloak, where the default ECP binding flow allows other authentication flows to be bypassed. By exploiting this behavior, an attacker can bypass the MFA authentication by sending a SOAP request with an AuthnRequest and Authorization header with the user's credentials. The highest threat from this vulnerability is to confidentiality and integrity.

Ссылки

https://access.redhat.com/security/cve/CVE-2021-3827
Vendor Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2007512
Issue Tracking
Vendor Advisory
https://github.com/keycloak/keycloak/commit/44000caaf5051d7f218d1ad79573bd3d175cad0d
Patch
Third Party Advisory
https://github.com/keycloak/keycloak/security/advisories/GHSA-4pc7-vqv5-5r3v
Third Party Advisory
https://access.redhat.com/security/cve/CVE-2021-3827
Vendor Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2007512
Issue Tracking
Vendor Advisory
https://github.com/keycloak/keycloak/commit/44000caaf5051d7f218d1ad79573bd3d175cad0d
Patch
Third Party Advisory
https://github.com/keycloak/keycloak/security/advisories/GHSA-4pc7-vqv5-5r3v
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:redhat:keycloak:*:*:*:*:*:*:*:*

Версия до 18.0.0 (исключая)

cpe:2.3:a:redhat:single_sign-on:7.0:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:a:redhat:single_sign-on:7.5.0:*:*:*:*:*:*:*

Одно из

cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:-:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:redhat:openshift_container_platform:4.8:*:*:*:*:*:*:*

cpe:2.3:a:redhat:openshift_container_platform:4.9:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*

EPSS

Процентиль: 43%

0.00208

Низкий

6.8 Medium

CVSS3

Дефекты

CWE-287

Связанные уязвимости

CVE-2021-3827

CVSS3: 6.8

redhat

больше 4 лет назад

CVE-2021-3827

CVSS3: 6.8

debian

больше 3 лет назад

A flaw was found in keycloak, where the default ECP binding flow allow ...

GHSA-4pc7-vqv5-5r3v

CVSS3: 8.1

github

почти 4 года назад

ECP SAML binding bypasses authentication flows

BDU:2024-02260

CVSS3: 6.8

fstec

больше 3 лет назад

Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с ошибками реализации процедуры аутентификации, позволяющая нарушителю обойти ограничения безопасности

EPSS

Процентиль: 43%

0.00208

Низкий

6.8 Medium

CVSS3

Дефекты

CWE-287