PT-2024-17571 · Red Hat+1 · Eap 7.X+2
Olivier Rivat
·
Publicado
2024-12-09
·
Atualizado
2026-01-26
·
CVE-2024-12369
CVSS v3.1
4.2
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do OIDC-Client anteriores à versão corrigida
EAP 7.x
EAP 8.x
Descrição
Foi encontrada uma vulnerabilidade no OIDC-Client, permitindo que ocorram ataques de injeção de código de autorização ao usar o adaptador RH SSO OIDC com o EAP 7.x ou o subsistema elytron-oidc-client com o EAP 8.x. Isso permite que um invasor injete um código de autorização roubado em sua própria sessão com o cliente, assumindo a identidade da vítima, normalmente por meio de um ataque Man-in-the-Middle (MitM) ou de phishing.
Recomendações
Para o OIDC-Client, atualize para uma versão que inclua a correção para este problema.
Para o EAP 7.x, considere desativar o adaptador RH SSO OIDC até que um patch esteja disponível.
Para o EAP 8.x, restrinja o acesso ao subsistema elytron-oidc-client para minimizar o risco de exploração.
Como solução alternativa temporária, considere implementar medidas de segurança adicionais para detectar e prevenir ataques Man-in-the-Middle (MitM) ou de phishing.
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eap 7.X
Eap 8.X
Oidc-Client