Уязвимость программного средства для управления идентификацией и доступом Keycloak связана с отсутствием фильтрации имени несуществующей веб-страницы при генерации страницы о 404-й ошибке протокола HTTP, в результате чего имя несуществующей страницы в неизменном виде попадает на сгенерированную страницу об ошибке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный сценарий путем задания значения AssertionConsumerServiceURL
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- использование средств обнаружения и предотвращения вторжений.
Использование рекомендаций производителя:
https://access.redhat.com/security/cve/cve-2022-4361
| Балл | 9.4 — высокая опасность |