2.6средняя
BDU:2024-01582 (CVE-2024-1722)
Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с чрезмерно ограничительным механизмом блокировки учётных данных пользователя, позволяющая нарушителю заблокировать доступ пользователя к его учетной записи
Опубликовано: 2024-02-27
Описание
Уязвимость программного средства для управления идентификацией и доступом Keycloak связана с чрезмерно ограничительным механизмом блокировки учётных данных пользователя. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, заблокировать доступ пользователя к его учетной записи
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Red Hat OpenShift Container Platform (3.11)Red Hat OpenShift Container Platform (4)Red Hat Enterprise Linux (9)CentOS (8)Keycloak (до 23.0.5 включительно)
Способ устранения
Компенсирующие меры:
- ограничить частоту регистрации учетной записи;
- ограничить регистрацию новой учетной записи, не разрешая указывать адреса электронной почты в поле имени пользователя.
Оценка CVSS
| Балл | 2.6 — средняя опасность |
Источники и патчи