PT-2020-14916 · Red Hat · Keycloak
Publicado
2020-06-22
·
Atualizado
2020-06-29
·
CVE-2020-1727
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Keycloak anteriores à 9.0.2
Descrição
Foi identificada uma falha na validação de entrada das URLs de autorização que apontam para um servidor IDP, permitindo uma ampla variedade de caracteres. Esse problema permite que um agente mal-intencionado crie links diretos, introduzindo novos cenários de ataque nos clientes afetados.
Recomendações
Para versões anteriores à 9.0.2, atualize para a versão 9.0.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de URLs de autorização que apontam para um servidor IDP para minimizar o risco de exploração.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Keycloak