PT-2021-9172 · Red Hat · Keycloak
Guilherme De Almeida Suckevicz
·
Publicado
2021-02-11
·
Atualizado
2022-04-28
·
CVE-2020-10734
CVSS v3.1
3.3
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do Keycloak fornecidas com o Red Hat Fuse 7, o Red Hat Single Sign-on 7 e o Red Hat Openshift Application Runtimes
Descrição
Foi identificada uma vulnerabilidade na forma como o Keycloak lida com o endpoint de logout OIDC, que não possui proteção contra CSRF. O maior risco associado a essa vulnerabilidade é à disponibilidade do sistema.
Recomendações
Para as versões fornecidas com o Red Hat Fuse 7, o Red Hat Single Sign-on 7 e o Red Hat Openshift Application Runtimes, considere desativar o endpoint de logout OIDC como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao endpoint de logout OIDC para minimizar o risco de exploração. Evite usar o endpoint de logout OIDC até que o problema seja resolvido.
Correção
DoS
CSRF
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Keycloak