关键信息 漏洞描述 漏洞编号: CVE-2024-7318 公开日期: 2024年9月9日 最近修改日期: 2024年9月9日 严重性: 低 描述: 在Keycloak中发现了一个漏洞。当使用FreeOTP时,如果OTP令牌周期设置为30秒(默认),过期的OTP代码仍然可以使用。这导致攻击窗口增加,恶意攻击者可以滥用系统并窃取账户。此外,这增加了攻击面,因为在任何给定时间,两个OTP都是有效的。 评分 CVSS v3 分数: 4.8 评分因素: - 攻击向量: 网络 - 攻击复杂性: 高 - 权限需求: 无 - 用户交互: 无 - 影响范围: 未改变 - 机密性影响: 低 - 完整性影响: 低 - 可用性影响: 无 影响的包和Red Hat安全补丁 受影响的包: - rhbk/keycloak-operator-bundle - rhbk/keycloak-rhel9 - rhbk/keycloak-rhel9-operator 受影响的组件: keycloak-core 状态: 已修复 补丁发布日期: 2024年9月10日 认证 发现者: Todd Cullum (Red Hat) 常见问题 为什么Red Hat的CVSS v3分数或影响与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复此漏洞的补丁? 如果我的产品被列为“不会修复”,我该怎么办? 什么是缓解措施? 我有Red Hat产品,但不在上述列表中,它是否受影响? 为什么我的安全扫描器报告我的产品存在此漏洞,尽管我的产品版本已修复或不受影响? 其他信息 页面生成时间: 2024年9月9日 16:24:38 UTC 版权: 2021年