PT-2022-13045 · Red Hat · Keycloak

Jxn0

·

Publicado

2022-08-26

·

Atualizado

2022-11-29

·

CVE-2022-0225

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Keycloak anteriores à 16.0.1
Descrição
Foi encontrada uma falha no Keycloak que permite que um invasor com privilégios utilize uma carga maliciosa como nome do grupo ao criar um novo grupo a partir do console de administração. Isso leva a um ataque de Cross-site scripting (XSS) armazenado, possibilitando a execução de scripts maliciosos no console de administração por meio do abuso da funcionalidade do menu suspenso de grupos. Ataques bem-sucedidos podem resultar na execução de um script XSS por um invasor com privilégios e no roubo de dados de outros usuários.
Recomendações
Para versões do Keycloak anteriores à 16.0.1, considere desativar a funcionalidade de criação de grupos no console de administração como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao console de administração para minimizar o risco de exploração. Evite usar o campo de nome do grupo no console de administração até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-80

Identificadores relacionados

CVE-2022-0225
GHSA-755V-R4X4-QF7M
GHSA-FQC7-5XXC-PH7R
RHSA-2022:6782
RHSA-2022:6783
RHSA-2022:7409
RHSA-2022:7410
RHSA-2022:7411

Produtos afetados

Keycloak