CVE-2024-3656

Опубликовано: 09 окт. 2024

Источник: redhat

CVSS3: 8.1

Описание

A flaw was found in Keycloak. Certain endpoints in Keycloak's admin REST API allow low-privilege users to access administrative functionalities. This flaw allows users to perform actions reserved for administrators, potentially leading to data breaches or system compromise.

Отчет

Red Hat has evaluated this vulnerability. This affects only Keycloak server and no Keycloak clients library ship the affected code.

Меры по смягчению последствий

Mitigation for this issue is either not available or the currently available options don't meet the Red Hat Product Security criteria comprising ease of use and deployment, applicability to widespread installation base or stability.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Build of Keycloak	org.keycloak-keycloak-parent	Affected
Red Hat JBoss Enterprise Application Platform 8	org.keycloak-keycloak-parent	Not affected
Red Hat Single Sign-On 7	org.keycloak-keycloak-parent	Affected
Red Hat Build of Keycloak		Fixed	RHSA-2024:3575	03.06.2024
Red Hat Single Sign-On 7		Fixed	RHSA-2024:3572	03.06.2024

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-200

https://bugzilla.redhat.com/show_bug.cgi?id=2274403keycloak: Unguarded admin REST API endpoints allows low privilege users to use administrative functionalities

8.1 High

CVSS3

Связанные уязвимости

CVE-2024-3656

CVSS3: 8.1

nvd

больше 1 года назад

CVE-2024-3656

CVSS3: 8.1

debian

больше 1 года назад

A flaw was found in Keycloak. Certain endpoints in Keycloak's admin RE ...

GHSA-2cww-fgmg-4jqc

CVSS3: 8.1

github

больше 1 года назад

Keycloak's admin API allows low privilege users to use administrative functions

BDU:2024-04782

CVSS3: 8.1

fstec

больше 1 года назад

Уязвимость прикладного программного интерфейса программного средства для управления идентификацией и доступом Keycloak, позволяющая нарушителю повысить свои привилегии

8.1 High

CVSS3