PT-2022-10737 · Red Hat · Keycloak
Paramvir Jindal
·
Publicado
2022-08-26
·
Atualizado
2023-07-10
·
CVE-2021-3856
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Não há menção a nenhum software ou versão específica nas descrições fornecidas.
Descrição
O problema diz respeito ao ClassLoaderTheme e ao ClasspathThemeResourceProviderFactory, que permitem a leitura de qualquer arquivo disponível como recurso para o carregador de classes. Ao enviar solicitações de recursos de tema com um caminho relativo a partir de um cliente HTTP externo, o cliente receberá o conteúdo de arquivos aleatórios, caso estejam disponíveis.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Files Accessible to External Parties
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Keycloak