PT-2024-39298 · Red Hat+1 · Keycloak+1

Karsten Meyer Zu Selhausen

+1

·

Publicado

2024-09-19

·

Atualizado

2025-11-01

·

CVE-2024-8883

CVSS v4.0

7.7

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:L/SA:N
Nome do software vulnerável e versões afetadas:
Keycloak (versões afetadas não especificadas)
Descrição:
Foi detectada uma falha de configuração incorreta no Keycloak, permitindo que um invasor redirecione usuários para uma URL arbitrária caso um “Valid Redirect URI” esteja definido como http://localhost ou http://127.0.0.1. Isso permite que informações confidenciais, como códigos de autorização, sejam expostas ao invasor, podendo levar ao sequestro de sessão.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Open Redirect

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-601

Identificadores relacionados

ALT-PU-2025-13422
ALT-PU-2025-2871
CVE-2024-8883
GHSA-VVF8-2H68-9475
GHSA-W8GR-XWP4-R9F7
RHSA-2024:10386
RHSA-2024:6878
RHSA-2024:6879
RHSA-2024:6880
RHSA-2024:8823
RHSA-2024:8824

Produtos afetados

Alt Linux
Keycloak