ГлавнаяБаза уязвимостей БДУ → BDU:2024-08198
6.1высокая

BDU:2024-08198 (CVE-2024-8698)

Уязвимость класса XMLSignatureUtil программного средства для управления идентификацией и доступом Keycloak, позволяющая нарушителю обойти существующие ограничения безопасности и повысить свои привилегии
Опубликовано: 2024-10-18
Описание

Уязвимость класса XMLSignatureUtil программного средства для управления идентификацией и доступом Keycloak связана с некорректной обработкой подписанных элементов криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и повысить свои привилегии

Затрагиваемое ПО и версии
Red Hat Single Sign-On (7)Red Hat Single Sign-On (7.6 for RHEL 7)Red Hat Single Sign-On (7.6 for RHEL 8)Red Hat Single Sign-On (7.6 for RHEL 9)Red Hat JBoss Enterprise Application Platform (8)Red Hat Build of Keycloak (22)Red Hat Build of Keycloak (24)Keycloak (до 25.0.6)
Способ устранения

Использование рекомендаций:
Для Keycloak:
https://github.com/keycloak/keycloak/releases/tag/25.0.6

Для программных продуктов RedHat Inc.:
https://access.redhat.com/security/cve/cve-2024-8698

Оценка CVSS
Балл6.1 — высокая опасность
Источники и патчи
https://advisories.gitlab.com/pkg/maven/org.keycloak/keycloak-saml-core/CVE-2024-8698/https://github.com/advisories/GHSA-4xx7-2cx3-x473https://github.com/keycloak/keycloakhttps://access.redhat.com/security/cve/CVE-2024-8698https://vulert.com/vuln-db/CVE-2024-8698https://access.redhat.com/errata/RHSA-2024:6878https://access.redhat.com/errata/RHSA-2024:6879https://access.redhat.com/errata/RHSA-2024:6880
Проверьте безопасность своего сайта и почты → Полная проверка домена