PT-2021-9721 · Red Hat+1 · Keycloak Gatekeeper+1
Dhananjay Arunesh
+2
·
Publicado
2021-02-23
·
Atualizado
2022-08-10
·
CVE-2020-14359
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Todas as versões do Keycloak Gatekeeper
Descrição
Foi encontrada uma vulnerabilidade no Keycloak Gatekeeper que permite que um invasor contorne o Gatekeeper usando cabeçalhos HTTP em letras minúsculas, por exemplo, via cURL. Esse problema é particularmente grave quando o Gatekeeper é utilizado na frente de determinados servidores web, como o Jetty, que também aceitam cabeçalhos em letras minúsculas, não oferecendo, assim, nenhuma proteção.
Recomendações
Como solução temporária, considere restringir o uso de cabeçalhos HTTP em letras minúsculas até que um patch esteja disponível.
Evite usar cabeçalhos em letras minúsculas em pontos de extremidade de API, como
/api/v1/login, até que o problema seja resolvido.Restrinja o acesso ao Gatekeeper quando ele for usado na frente de um servidor Jetty para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jetty
Keycloak Gatekeeper