Vulnerabilidad en Keycloak (CVE-2024-10451)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
25/11/2024
Última modificación:
25/11/2024
Descripción
Se encontró una falla en Keycloak. Este problema ocurre porque los valores de tiempo de ejecución confidenciales, como las contraseñas, pueden capturarse durante el proceso de compilación de Keycloak e incorporarse como valores predeterminados en el código de bytes, lo que genera una divulgación de información no deseada. En Keycloak 26, los datos confidenciales especificados directamente en las variables de entorno durante el proceso de compilación también se almacenan como valores predeterminados, lo que los hace accesibles durante el tiempo de ejecución. El uso indirecto de las variables de entorno para las opciones de SPI y las propiedades de Quarkus también es vulnerable debido a la expansión incondicional por parte de la lógica de PropertyMapper, que captura datos confidenciales como valores predeterminados en todas las versiones de Keycloak hasta la 26.0.2.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:10175
- https://access.redhat.com/errata/RHSA-2024:10176
- https://access.redhat.com/errata/RHSA-2024:10177
- https://access.redhat.com/errata/RHSA-2024:10178
- https://access.redhat.com/security/cve/CVE-2024-10451
- https://bugzilla.redhat.com/show_bug.cgi?id=2322096