В Keycloak обнаружена ошибка. Администратор с разрешением «manage-users» может обойти настройку «Только администраторы могут просматривать» для неуправляемых атрибутов, позволяя им изменять эти атрибуты. Неправильный контроль доступа может привести к несанкционированному изменению профилей пользователей, даже если система настроена на ограничение таких изменений.
Показать оригинальное описание (EN)
A flaw was found in Keycloak. An administrator with `manage-users` permission can bypass the "Only administrators can view" setting for unmanaged attributes, allowing them to modify these attributes. This improper access control can lead to unauthorized changes to user profiles, even when the system is configured to restrict such modifications.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1