Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en JBoss EAP (CVE-2023-6236)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-345 Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
10/04/2024
Última modificación:
18/06/2024

Descripción

Se encontró una falla en JBoss EAP. Cuando una aplicación OIDC que atiende a varios inquilinos intenta acceder al segundo inquilino, debería solicitarle al usuario que inicie sesión nuevamente, ya que el segundo inquilino está protegido con una configuración OIDC diferente. El problema subyacente está en OidcSessionTokenStore al determinar si se debe utilizar o no un token almacenado en caché. Esta lógica debe actualizarse para tener en cuenta la nueva opción "proveedor-url" además de la opción "realm".

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
7.30
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información