CVE-2023-6717

Nome do software vulnerável e versões afetadas:

Keycloak (versões afetadas não especificadas)

Descrição:

Foi identificada uma falha no registro de clientes SAML no Keycloak que poderia permitir que um administrador registrasse URIs de JavaScript maliciosas como URLs de ligação POST do Serviço de Consumidor de Asserções (ACS), representando um risco de Cross-Site Scripting (XSS). Esse problema pode permitir que um administrador mal-intencionado em um domínio ou um cliente com acesso de registro tenha como alvo usuários em diferentes domínios ou aplicativos, executando JavaScript arbitrário em seus contextos após o envio de formulários. A vulnerabilidade existe devido à falta de proteção da estrutura da página da web, o que pode permitir acesso não autorizado e ações prejudiciais, comprometendo a confidencialidade, integridade e disponibilidade de toda a instância do Keycloak.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.