Vulnerabilidad en Keycloak (CVE-2024-3656)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
09/10/2024
Última modificación:
23/12/2024
Descripción
Se encontró una falla en Keycloak. Ciertos endpoints en la API REST de administración de Keycloak permiten que usuarios con pocos privilegios accedan a funcionalidades administrativas. Esta falla permite que los usuarios realicen acciones reservadas para administradores, lo que puede provocar violaciones de datos o comprometer el sistema.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:3572
- https://access.redhat.com/errata/RHSA-2024:3575
- https://access.redhat.com/security/cve/CVE-2024-3656
- https://bugzilla.redhat.com/show_bug.cgi?id=2274403
- https://github.com/advisories/GHSA-2cww-fgmg-4jqc
- https://github.com/hnsecurity/vulns/blob/main/HNS-2024-08-Keycloak.md
- https://news.ycombinator.com/item?id=42136000
- https://security.humanativaspa.it/an-analysis-of-the-keycloak-authentication-system/