Vulnerabilidad en Keycloak (CVE-2024-9666)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/11/2024
Última modificación:
25/11/2024
Descripción
Se encontró una vulnerabilidad en el servidor Keycloak. El servidor Keycloak es vulnerable a un ataque de denegación de servicio (DoS) debido al manejo inadecuado de los encabezados de proxy. Cuando Keycloak está configurado para aceptar encabezados de proxy entrantes, puede aceptar valores que no sean IP, como identificadores ofuscados, sin una validación adecuada. Este problema puede generar costosas operaciones de resolución de DNS, que un atacante podría aprovechar para bloquear subprocesos de E/S y potencialmente causar una denegación de servicio. El atacante debe tener acceso para enviar solicitudes a una instancia de Keycloak que esté configurada para aceptar encabezados de proxy, específicamente cuando los servidores proxy inversos no sobrescriben los encabezados entrantes y Keycloak está configurado para confiar en estos encabezados.
Impacto
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:10175
- https://access.redhat.com/errata/RHSA-2024:10176
- https://access.redhat.com/errata/RHSA-2024:10177
- https://access.redhat.com/errata/RHSA-2024:10178
- https://access.redhat.com/security/cve/CVE-2024-9666
- https://bugzilla.redhat.com/show_bug.cgi?id=2317440