Vulnerabilidad en Keycloak (CVE-2024-8698)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/09/2024
Última modificación:
12/12/2024
Descripción
Existe una falla en el método de validación de firma SAML dentro de la clase XMLSignatureUtil de Keycloak. El método determina incorrectamente si una firma SAML es para el documento completo o solo para afirmaciones específicas según la posición de la firma en el documento XML, en lugar del elemento Reference utilizado para especificar el elemento firmado. Esta falla permite a los atacantes crear respuestas manipuladas que pueden eludir la validación, lo que puede provocar ataques de suplantación o escalada de privilegios.
Impacto
Puntuación base 3.x
7.70
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:6878
- https://access.redhat.com/errata/RHSA-2024:6879
- https://access.redhat.com/errata/RHSA-2024:6880
- https://access.redhat.com/errata/RHSA-2024:6882
- https://access.redhat.com/errata/RHSA-2024:6886
- https://access.redhat.com/errata/RHSA-2024:6887
- https://access.redhat.com/errata/RHSA-2024:6888
- https://access.redhat.com/errata/RHSA-2024:6889
- https://access.redhat.com/errata/RHSA-2024:6890
- https://access.redhat.com/errata/RHSA-2024:8823
- https://access.redhat.com/errata/RHSA-2024:8824
- https://access.redhat.com/errata/RHSA-2024:8826
- https://access.redhat.com/security/cve/CVE-2024-8698
- https://bugzilla.redhat.com/show_bug.cgi?id=2311641