Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-2422

Опубликовано: 04 окт. 2023
Источник: nvd
CVSS3: 5.5
CVSS3: 7.1
EPSS Низкий

Описание

A flaw was found in Keycloak. A Keycloak server configured to support mTLS authentication for OAuth/OpenID clients does not properly verify the client certificate chain. A client that possesses a proper certificate can authorize itself as any other client, therefore, access data that belongs to other clients.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:redhat:keycloak:-:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_container_platform:4.9:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_container_platform:4.10:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_container_platform:4.11:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_container_platform:4.12:*:*:*:*:*:*:*
cpe:2.3:a:redhat:single_sign-on:7.6:*:*:*:*:*:*:*

Одно из

cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*

EPSS

Процентиль: 52%
0.00294
Низкий

5.5 Medium

CVSS3

7.1 High

CVSS3

Дефекты

CWE-295
CWE-295

Связанные уязвимости

redhat логотип

CVE-2023-2422

CVSS3: 5.5
redhat
больше 2 лет назад

A flaw was found in Keycloak. A Keycloak server configured to support mTLS authentication for OAuth/OpenID clients does not properly verify the client certificate chain. A client that possesses a proper certificate can authorize itself as any other client, therefore, access data that belongs to other clients.

debian логотип

CVE-2023-2422

CVSS3: 5.5
debian
больше 2 лет назад

A flaw was found in Keycloak. A Keycloak server configured to support ...

github логотип

GHSA-3qh5-qqj2-c78f

CVSS3: 7.1
github
больше 2 лет назад

Keycloak vulnerable to Improper Client Certificate Validation for OAuth/OpenID clients

fstec логотип

BDU:2023-05658

CVSS3: 5.5
fstec
больше 2 лет назад

Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

EPSS

Процентиль: 52%
0.00294
Низкий

5.5 Medium

CVSS3

7.1 High

CVSS3

Дефекты

CWE-295
CWE-295