PT-2024-4437 · Red Hat · Keycloak
Mauro Matteo Cascella
·
Publicado
2024-05-06
·
Atualizado
2026-02-25
·
CVE-2024-4540
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Keycloak (versões afetadas não especificadas)
Descrição
Foi identificada uma falha no Keycloak relacionada às solicitações de autorização OAuth 2.0 Pushed Authorization Requests (PAR). Verificou-se que os parâmetros fornecidos pelo cliente estavam incluídos em texto simples no cookie KC RESTART retornado pela resposta HTTP do servidor de autorização a uma solicitação de autorização
request uri, o que poderia levar a uma vulnerabilidade de divulgação de informações.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Insecure Storage of Sensitive Information
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Keycloak