PT-2021-13833 · Red Hat · Keycloak
Amit Laish
+1
·
Publicado
2021-05-28
·
Atualizado
2022-08-05
·
CVE-2021-20195
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
versões do Keycloak anteriores à 13.0.0
Descrição:
Uma falha no Keycloak permite um vetor de ataque XSS auto-armazenado, que pode evoluir para uma apropriação total da conta. Isso ocorre porque os campos de dados fornecidos pelo usuário não são codificados adequadamente e devido ao uso de código JavaScript para processar os dados. A maior ameaça decorrente desse problema é à confidencialidade e integridade dos dados, bem como à disponibilidade do sistema.
Recomendações:
Para versões anteriores à 13.0.0, atualize para a versão 13.0.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de campos de dados fornecidos pelo usuário no código JavaScript até que um patch esteja disponível. Restrinja o acesso a dados e funções confidenciais para minimizar o risco de exploração.
Correção
XSS
Improper Encoding or Escaping of Output
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Keycloak