ГлавнаяБаза уязвимостей БДУ → BDU:2023-03467
9.4высокая

BDU:2023-03467 (CVE-2022-4361)

Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с отсутствием фильтрации имени несуществующей веб-страницы при генерации страницы о 404-й ошибке протокола HTTP, позволяющая нарушителю выполнить произвольный сценарий
Опубликовано: 2023-06-28
Описание

Уязвимость программного средства для управления идентификацией и доступом Keycloak связана с отсутствием фильтрации имени несуществующей веб-страницы при генерации страницы о 404-й ошибке протокола HTTP, в результате чего имя несуществующей страницы в неизменном виде попадает на сгенерированную страницу об ошибке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный сценарий путем задания значения AssertionConsumerServiceURL

Затрагиваемое ПО и версии
Red Hat Single Sign-On (7)Red Hat Single Sign-On (7.6)Keycloak (22.0.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- использование средств обнаружения и предотвращения вторжений.

Использование рекомендаций производителя:
https://access.redhat.com/security/cve/cve-2022-4361

Оценка CVSS
Балл9.4 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2022-4361
Проверьте безопасность своего сайта и почты → Полная проверка домена