ГлавнаяБаза уязвимостей БДУ → BDU:2024-01582
2.6средняя

BDU:2024-01582 (CVE-2024-1722)

Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с чрезмерно ограничительным механизмом блокировки учётных данных пользователя, позволяющая нарушителю заблокировать доступ пользователя к его учетной записи
Опубликовано: 2024-02-27
Описание

Уязвимость программного средства для управления идентификацией и доступом Keycloak связана с чрезмерно ограничительным механизмом блокировки учётных данных пользователя. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, заблокировать доступ пользователя к его учетной записи

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Red Hat OpenShift Container Platform (3.11)Red Hat OpenShift Container Platform (4)Red Hat Enterprise Linux (9)CentOS (8)Keycloak (до 23.0.5 включительно)
Способ устранения

Компенсирующие меры:
- ограничить частоту регистрации учетной записи;
- ограничить регистрацию новой учетной записи, не разрешая указывать адреса электронной почты в поле имени пользователя.

Оценка CVSS
Балл2.6 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2024-1722https://bugzilla.redhat.com/show_bug.cgi?id=2265389https://yanac.hu/2024/02/21/cve-2024-1722-keycloak-account-lockout-denial-of-service/https://vuldb.com/ru/?id.254464https://security.snyk.io/vuln/SNYK-RHEL8-PODMAN-6262276https://security.snyk.io/vuln/SNYK-RHEL8-CONTAINERTOOLS-6262233https://security.snyk.io/vuln/SNYK-RHEL8-CONTAINERTOOLS-6262232https://security.snyk.io/vuln/SNYK-RHEL8-CONTAINERTOOLS-6262231
Проверьте безопасность своего сайта и почты → Полная проверка домена