Vulnerabilidad en Keycloak permite utilizar el token de usuario final (CVE-2019-3868)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

24/04/2019

Última modificación:

10/02/2020

Descripción

Keycloak hasta la versión 6.0.0 permite utilizar el token de usuario final (JWT de token de acceso o id) como cookie de sesión para sesiones de navegador para OIDC. Como resultado, un atacante con acceso al backend del proveedor de servicios podría secuestrar la sesión del navegador del usuario.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.80 BAJA
Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.80

Gravedad 3.x

BAJA

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno