PT-2020-2764 · Red Hat · Keycloak

Marian Rehak

Publicado

2020-01-07

Atualizado

2022-05-24

CVE-2019-14837

CVSS v2.0

9.4

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:N

Nome do software vulnerável e versões afetadas

Versões do Keycloak anteriores à 8.0.0

Descrição

Uma falha no Keycloak permite que o proprietário de um domínio configure um servidor de e-mail e redefina a senha de um cliente, sabendo apenas o nome do cliente. Por exemplo, um cliente chamado “test” teria um endereço de e-mail como “service-account-test@placeholder.org”. Esse problema está relacionado ao uso de dados de registro predefinidos, que podem ser explorados por um invasor remoto para obter acesso não autorizado a informações protegidas.

Recomendações

Para versões anteriores à 8.0.0, atualize para a versão 8.0.0 ou posterior para resolver o problema.

Exploit

Correção

Using Hardcoded Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-798CWE-547

Identificadores relacionados

BDU:2020-02856

CVE-2019-14837

GHSA-CF8F-W2C5-P5JR

RHSA-2019:4040

RHSA-2019:4041

RHSA-2019:4042

Produtos afetados

Keycloak

PT-2020-2764 · Red Hat · Keycloak

CVE-2019-14837

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9