Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2019-14837

Опубликовано: 02 дек. 2019
Источник: redhat
CVSS3: 9.1
EPSS Низкий

Описание

A flaw was found in keycloack before version 8.0.0. The owner of 'placeholder.org' domain can setup mail server on this domain and knowing only name of a client can reset password and then log in. For example, for client name 'test' the email address will be 'service-account-test@placeholder.org'.

A flaw was found in Keycloak. The use of an open hard-coded domain can allow an unauthorized login by setting up a mail server and resetting the user credentials, enabling information disclosure.

Меры по смягчению последствий

It is not a very straight forward workaround but it is possible to mitigate this by manually editing the default Email ID (service_account_name@placeholder.org) to some valid email ID (abc@gmail.com) in the USER_ENTITY table in the RHSSO database used.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Fuse 7keycloakNot affected
Red Hat Mobile Application Platform 4keycloakNot affected
Red Hat OpenShift Application RuntimeskeycloakNot affected
Red Hat Single Sign-On 7.3FixedRHSA-2019:404502.12.2019
Red Hat Single Sign-On 7.3 for RHEL 6rh-sso7-keycloakFixedRHSA-2019:404002.12.2019
Red Hat Single Sign-On 7.3 for RHEL 7rh-sso7-keycloakFixedRHSA-2019:404102.12.2019
Red Hat Single Sign-On 7.3 for RHEL 8rh-sso7-keycloakFixedRHSA-2019:404202.12.2019

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important
Дефект:
CWE-547
https://bugzilla.redhat.com/show_bug.cgi?id=1730227keycloak: keycloak uses hardcoded open dummy domain for new accounts enabling information disclosure

EPSS

Процентиль: 77%
0.01008
Низкий

9.1 Critical

CVSS3

Связанные уязвимости

nvd логотип

CVE-2019-14837

CVSS3: 9.1
nvd
около 6 лет назад

A flaw was found in keycloack before version 8.0.0. The owner of 'placeholder.org' domain can setup mail server on this domain and knowing only name of a client can reset password and then log in. For example, for client name 'test' the email address will be 'service-account-test@placeholder.org'.

debian логотип

CVE-2019-14837

CVSS3: 9.1
debian
около 6 лет назад

A flaw was found in keycloack before version 8.0.0. The owner of 'plac ...

github логотип

GHSA-cf8f-w2c5-p5jr

CVSS3: 9.1
github
больше 3 лет назад

keycloak vulnerable to unauthorized login via mail server setup

fstec логотип

BDU:2020-02856

CVSS3: 9.1
fstec
около 6 лет назад

Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с использованием предустановленных регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 77%
0.01008
Низкий

9.1 Critical

CVSS3