Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en OIDC-Client (CVE-2024-12369)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-345 Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
09/12/2024
Última modificación:
17/04/2025

Descripción

Se encontró una vulnerabilidad en OIDC-Client. Al utilizar el adaptador RH SSO OIDC con EAP 7.x o al utilizar el subsistema elytron-oidc-client con EAP 8.x, pueden producirse ataques de inyección de código de autorización, lo que permite a un atacante inyectar un código de autorización robado en la propia sesión del atacante con el cliente con la identidad de la víctima. Esto suele hacerse con un ataque de tipo Man-in-the-Middle (MitM) o de phishing.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.20 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
4.20
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información