PT-2024-38275 · Red Hat+1 · Keycloak Saml Adapters+2

Robb Gatica

·

Publicado

2024-09-09

·

Atualizado

2025-11-01

·

CVE-2024-7341

CVSS v4.0

7.5

Alta

VetorAV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Adaptadores SAML do Keycloak (versões afetadas não especificadas)
Descrição
Foi detectada uma falha de fixação de sessão nos adaptadores SAML fornecidos pelo Keycloak. O ID da sessão e o cookie JSESSIONID não são alterados no momento do login, mesmo quando a opção turnOffChangeSessionIdOnLogin está configurada. Essa falha permite que um invasor que sequestre a sessão atual antes da autenticação provoque a fixação de sessão.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Session Fixation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-384

Identificadores relacionados

ALT-PU-2025-13422
ALT-PU-2025-2871
CVE-2024-7341
GHSA-5RXP-2RHR-QWQV
GHSA-J76J-RQWJ-JMVV
RHSA-2024:6493
RHSA-2024:6494
RHSA-2024:6495

Produtos afetados

Alt Linux
Keycloak
Keycloak Saml Adapters