PT-2024-35946 · Unknown · @Dapperduckling/Keycloak-Connector-Server
Highduckboy81
·
Publicado
2024-11-25
·
Atualizado
2024-12-01
·
CVE-2024-53843
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas:
@dapperduckling/keycloak-connector-server versões anteriores à 2.5.5
Descrição:
Foi descoberta uma vulnerabilidade de Cross-Site Scripting (XSS) refletido no fluxo de autenticação do aplicativo devido à sanitização inadequada dos parâmetros da URL. Isso permite que um invasor crie uma URL maliciosa para executar JavaScript arbitrário no navegador de uma vítima que acesse o link. Qualquer aplicativo que utilize essa biblioteca de autenticação está vulnerável, e os usuários correm risco se forem induzidos a clicar em um link malicioso criado para esse fim.
Recomendações:
Para versões anteriores à 2.5.5, atualize para a versão 2.5.5 ou posterior para garantir a sanitização e o escape adequados das entradas do usuário nos parâmetros de URL afetados.
Se a atualização não for possível imediatamente, considere as seguintes soluções alternativas:
-
Utilize um Web Application Firewall (WAF) para bloquear solicitações maliciosas contendo parâmetros de URL suspeitos.
-
Aplique validação de entrada e escape diretamente na camada de middleware ou proxy reverso do aplicativo, visando especificamente os parâmetros afetados.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Dapperduckling/Keycloak-Connector-Server