В Keycloak обнаружена ошибка. Конечная точка API защиты пользовательского доступа (UMA) 2.0 для билетов разрешений не обеспечивает проверку роли uma_protection. Это позволяет любому аутентифицированному пользователю с токеном, выданным для клиента сервера ресурсов, даже без роли uma_protection, перечислять все билеты разрешений в системе.
Эта частичная уязвимость приводит к раскрытию информации.
Показать оригинальное описание (EN)
A flaw was found in Keycloak. The User-Managed Access (UMA) 2.0 Protection API endpoint for permission tickets fails to enforce the `uma_protection` role check. This allows any authenticated user with a token issued for a resource server client, even without the `uma_protection` role, to enumerate all permission tickets in the system. This vulnerability partial leads to information disclosure.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Redhat Build_Of_Keycloak
cpe:2.3:a:redhat:build_of_keycloak:-:*:*:*:-:*:*:*
|
— | — |