PT-2024-2167 · Red Hat · Keycloak
Mauro Matteo Cascella
·
Publicado
2024-02-21
·
Atualizado
2024-07-03
·
CVE-2023-6787
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Keycloak (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma falha no mecanismo de reautenticação do Keycloak, especificamente no módulo org.keycloak.authentication. Essa falha permite que um invasor se aproprie de uma sessão ativa do Keycloak ao acionar um novo processo de autenticação com o parâmetro de consulta “prompt=login”, solicitando que o usuário reinsira suas credenciais. Se o usuário cancelar essa reautenticação selecionando “Reiniciar login”, pode ocorrer uma apropriação de conta, pois a nova sessão, com um
SUB diferente, possuirá o mesmo SID da sessão anterior.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Session Fixation
Improper Authentication
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Keycloak