В компоненте регистрации WebAuthn Keycloak была обнаружена ошибка. Эта уязвимость позволяет злоумышленнику обойти настроенную политику аттестации и зарегистрировать ненадежные или поддельные аутентификаторы путем отправки объекта аттестации с fmt: «none», даже если область настроена на требование прямой аттестации. Это может привести к ослаблению целостности аутентификации и несанкционированной регистрации аутентификатора.
Показать оригинальное описание (EN)
A flaw was found in Keycloak’s WebAuthn registration component. This vulnerability allows an attacker to bypass the configured attestation policy and register untrusted or forged authenticators via submission of an attestation object with fmt: "none", even when the realm is configured to require direct attestation. This can lead to weakened authentication integrity and unauthorized authenticator registration.
Характеристики атаки
Последствия
Строка CVSS v3.1