PT-2022-24784 · Red Hat · Keycloak

Patrick Del Bello

·

Publicado

2022-12-13

·

Atualizado

2023-09-22

·

CVE-2022-3916

CVSS v3.1

6.8

Média

VetorAV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Keycloak (versões afetadas não especificadas)
Descrição
Foi identificada uma falha no escopo offline access do Keycloak, afetando mais os usuários de computadores compartilhados, especialmente se os cookies não forem apagados. Esse problema se deve à falta de validação da sessão raiz e à reutilização de IDs de sessão entre as sessões de autenticação raiz e de usuário. Um invasor pode resolver uma sessão de usuário vinculada a um usuário previamente autenticado e, ao utilizar o token de atualização, receber um token para o usuário original.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Insufficient Session Expiration

Improper Authentication

Session Fixation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-613CWE-488CWE-287CWE-304CWE-384

Identificadores relacionados

CVE-2022-3916
GHSA-97G8-XFVW-Q4HG
RHSA-2022:8961
RHSA-2022:8962
RHSA-2022:8963
RHSA-2023:1043
RHSA-2023:1044
RHSA-2023:1045

Produtos afetados

Keycloak