В Keycloak обнаружена ошибка. Удаленный злоумышленник может использовать дифференциальные сообщения об ошибках во время процесса входа в систему с приоритетом идентификации, когда включены организации. Эта уязвимость позволяет злоумышленнику определить существование пользователей, что приводит к раскрытию информации посредством перечисления пользователей.
Показать оригинальное описание (EN)
A flaw was found in Keycloak. A remote attacker can exploit differential error messages during the identity-first login flow when Organizations are enabled. This vulnerability allows an attacker to determine the existence of users, leading to information disclosure through user enumeration.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1