PT-2024-2635 · Red Hat · Rh-Sso+2
Patrick Del Bello
·
Publicado
2024-02-28
·
Atualizado
2025-01-21
·
CVE-2024-0560
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do 3Scale utilizadas com o Keycloak 15 (ou RHSSO 7.5.0)
Descrição
O problema está relacionado ao tratamento incorreto de permissões ou privilégios insuficientes no software de gerenciamento de API 3Scale. Quando o
auth type é definido como use 3scale oidc issuer endpoint, a política de Token Introspection não consegue inspecionar os tokens devido à remoção do campo token introspection endpoint no RH-SSO 7.5. Como resultado, a política determina que todos os tokens são válidos. Isso poderia permitir que um invasor remoto executasse código arbitrário.Recomendações
Para versões do 3Scale usadas com o Keycloak 15 (ou RHSSO 7.5.0), considere desativar o tipo de autenticação
use 3scale oidc issuer endpoint até que um patch esteja disponível para impedir que a política de Token Introspection valide tokens incorretamente.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
3Scale
Keycloak
Rh-Sso