В Keycloak обнаружена ошибка. Администратор с разрешением «manage-clients» может воспользоваться неправильной конфигурацией, если это разрешение эквивалентно «manage-permissions». Это позволяет администратору повышать привилегии и получать контроль над ролями, пользователями или другими административными функциями в пределах области.
Такое повышение привилегий может произойти, если разрешения администратора включены на уровне области.
Показать оригинальное описание (EN)
A flaw was found in Keycloak. An administrator with `manage-clients` permission can exploit a misconfiguration where this permission is equivalent to `manage-permissions`. This allows the administrator to escalate privileges and gain control over roles, users, or other administrative functions within the realm. This privilege escalation can occur when admin permissions are enabled at the realm level.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Redhat Build_Of_Keycloak
cpe:2.3:a:redhat:build_of_keycloak:-:*:*:*:-:*:*:*
|
— | — |
|
Redhat Jboss_Enterprise_Application_Platform
cpe:2.3:a:redhat:jboss_enterprise_application_platform:8.0.0:*:*:*:*:*:*:*
|
— | — |
|
Redhat Jboss_Enterprise_Application_Platform_Expansion_Pack
cpe:2.3:a:redhat:jboss_enterprise_application_platform_expansion_pack:-:*:*:*:*:*:*:*
|
— | — |
|
Redhat Single_Sign-On
cpe:2.3:a:redhat:single_sign-on:7.0:*:*:*:*:*:*:*
|
— | — |