В Keycloak обнаружена ошибка. SingleUseObjectProvider, глобальное хранилище значений ключей, не имеет надлежащей изоляции типа и пространства имен. Эта уязвимость позволяет злоумышленнику удалять произвольные одноразовые записи, что позволяет воспроизводить использованные токены действий, например ссылки для сброса пароля. Это может привести к несанкционированному доступу или компрометации учетной записи.
Показать оригинальное описание (EN)
A flaw was found in Keycloak. The SingleUseObjectProvider, a global key-value store, lacks proper type and namespace isolation. This vulnerability allows an attacker to delete arbitrary single-use entries, which can enable the replay of consumed action tokens, such as password reset links. This could lead to unauthorized access or account compromise.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 5
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Redhat Build_Of_Keycloak
cpe:2.3:a:redhat:build_of_keycloak:-:*:*:*:text-only:*:*:*
|
— | — |
|
Redhat Build_Of_Keycloak
cpe:2.3:a:redhat:build_of_keycloak:26.2:*:*:*:text-only:*:*:*
|
— | — |
|
Redhat Build_Of_Keycloak
cpe:2.3:a:redhat:build_of_keycloak:26.2.15:*:*:*:text-only:*:*:*
|
— | — |
|
Redhat Build_Of_Keycloak
cpe:2.3:a:redhat:build_of_keycloak:26.4:*:*:*:text-only:*:*:*
|
— | — |
|
Redhat Build_Of_Keycloak
cpe:2.3:a:redhat:build_of_keycloak:26.4.11:*:*:*:text-only:*:*:*
|
— | — |