PT-2024-39748 · Red Hat+1 · Keycloak Server+2
Publicado
2024-10-08
·
Atualizado
2025-11-01
·
CVE-2024-9666
CVSS v3.1
4.7
Média
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Keycloak Server (versões afetadas não especificadas)
Descrição
É possível ocorrer um ataque de negação de serviço (DoS) devido ao tratamento inadequado de cabeçalhos de proxy no Keycloak Server. Quando configurado para aceitar cabeçalhos de proxy recebidos, o Keycloak pode aceitar valores que não sejam de IP sem a devida validação, levando a operações de resolução de DNS onerosas. Um invasor poderia explorar isso para sobrecarregar threads de E/S e causar uma negação de serviço. O invasor deve ter acesso para enviar solicitações a uma instância do Keycloak configurada para aceitar e confiar em cabeçalhos de proxy, especialmente quando proxies reversos não sobrescrevem cabeçalhos de entrada.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
DoS
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Keycloak
Keycloak Server