Red Hat · Keycloak · CVE-2024-8883
Nome do software vulnerável e versões afetadas:
Keycloak (versões afetadas não especificadas)
Descrição:
Foi detectada uma falha de configuração incorreta no Keycloak, permitindo que um invasor redirecione usuários para uma URL arbitrária caso um “Valid Redirect URI” esteja definido como http://localhost ou http://127.0.0.1. Isso permite que informações confidenciais, como códigos de autorização, sejam expostas ao invasor, podendo levar ao sequestro de sessão.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.