PT-2020-9607 · Red Hat · Keycloak

Publicado

2020-01-08

·

Atualizado

2021-10-29

·

CVE-2019-14820

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Keycloak anteriores à 8.0.0
Descrição
A vulnerabilidade permite que um invasor acesse informações não autorizadas ao invocar pontos de extremidade do adaptador interno em org.keycloak.constants.AdapterConstants por meio de uma URL especialmente criada.
Recomendações
Para versões anteriores à 8.0.0, atualize para a versão 8.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade do adaptador interno em org.keycloak.constants.AdapterConstants para minimizar o risco de exploração.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

CVE-2019-14820
GHSA-XFQH-7356-VQJJ
RHSA-2019:3044
RHSA-2019:3045
RHSA-2019:3046
RHSA-2019:3048
RHSA-2019:3049

Produtos afetados

Keycloak