PT-2024-15105 · Red Hat · Keycloak
Rohit Keshri
·
Publicado
2024-09-10
·
Atualizado
2024-10-01
·
CVE-2023-6841
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Keycloak anteriores à 24
Descrição
Foi detectada uma vulnerabilidade de negação de serviço no Keycloak, na qual o número de atributos por objeto não é limitado. Um invasor poderia causar esgotamento de recursos enviando solicitações HTTP repetidas, levando a aplicação a retornar linhas com valores de atributos muito longos.
Recomendações
Para versões anteriores à 24, atualize para o Keycloak 24 ou posterior, que introduz o recurso Perfil do Usuário, que corrige esse problema.
Como solução alternativa temporária, considere restringir a quantidade de atributos por objeto para evitar o esgotamento de recursos.
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Keycloak