PT-2022-8928 · Red Hat · Keycloak
Luca Leonardo Scorcia
·
Publicado
2022-08-23
·
Atualizado
2025-06-30
·
CVE-2020-35509
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Keycloak 11.0.3 a 13.0.0
Descrição
Foi identificada uma falha no autenticador direct-grant do Keycloak, na qual um certificado expirado era aceito devido à ausência de validações de carimbo de data/hora. O maior risco decorrente desse problema é à confidencialidade e integridade dos dados.
Recomendações
Para as versões 11.0.3 a 12.0.0 do Keycloak, atualize para a versão 14.0.0 para resolver totalmente o problema.
Para a versão 13.0.0 do Keycloak, atualize para a versão 14.0.0 para obter uma correção mais completa, já que a versão 13.0.1 resolve o problema apenas parcialmente.
Como solução alternativa temporária, considere restringir o uso do autenticador direct-grant até que um patch seja aplicado.
Correção
Improper Certificate Validation
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Keycloak