Vulnerabilidad en en cURL en el uso de encabezados HTTP en minúsculas en keycloak (CVE-2020-14359)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

23/02/2021

Última modificación:

10/08/2022

Descripción

Se ha encontrado una vulnerabilidad en todas las versiones de Keycloak Gatekeeper, donde al utilizar cabeceras HTTP en minúsculas (a través de cURL) un atacante puede eludir nuestro Gatekeeper. Las cabeceras en minúsculas también son aceptadas por algunos servidores web (por ejemplo, Jetty). Esto significa que no hay protección cuando ponemos un Gatekeeper frente a un servidor Jetty y usamos cabeceras en minúsculas

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

7.30

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico