В Keycloak обнаружена ошибка. Уязвимость неправильного контроля доступа в конечной точке Resource_set, управляемой пользователем доступом (UMA) Keycloak, позволяет злоумышленникам с действительными учетными данными обойти ограничениеallowRemoteResourceManagement=false. Это происходит из-за неполного применения проверок контроля доступа к операциям PUT к конечной точке resources_set.
Эта проблема делает возможным несанкционированное изменение защищенных ресурсов, что влияет на целостность данных.
Показать оригинальное описание (EN)
A flaw was found in Keycloak. An improper Access Control vulnerability in Keycloak’s User-Managed Access (UMA) resource_set endpoint allows attackers with valid credentials to bypass the allowRemoteResourceManagement=false restriction. This occurs due to incomplete enforcement of access control checks on PUT operations to the resource_set endpoint. This issue enables unauthorized modification of protected resources, impacting data integrity.
Характеристики атаки
Последствия
Строка CVSS v3.1