关键信息 1. 漏洞描述: - 名称: CVE-2024-8883 - 公开日期: 2024年9月19日 - 严重性: 中等 - 问题: Keycloak中的配置错误允许攻击者将用户重定向到任意URL,如果设置了有效的重定向URI为 或 ,这可能会导致敏感信息如授权代码暴露给攻击者,从而可能导致会话劫持。 2. 受影响的组件: - 组件: org.keycloak/keycloak-services - 状态: 受影响 3. 受影响的包和Red Hat安全补丁: - 包: Red Hat Build of Keycloak, Red Hat JBoss Enterprise Application Platform 8, Red Hat Single Sign-On 7 - 状态: 受影响 4. CVSS v3评分: - 评分: 6.8 - 向量: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N - 影响因素: - 攻击向量: 网络 - 攻击复杂性: 高 - 权限要求: 无 - 用户交互: 必需 - 影响: 高 5. 致谢: - Red Hat感谢Karsten Meyer zu Selhausen和Niklas Conrad报告了此问题。 6. 常见问题: - 为什么Red Hat的CVSS v3评分或影响与其他供应商不同? - 如果我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布此漏洞的修复? - 如果我的产品被列为“无法修复”,我该怎么办? - 如果我的产品被列为“修复推迟”,我该怎么办? - 什么是缓解措施? - 我有Red Hat产品,但它不在上述列表中,它是否受影响? - 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 总结 这个漏洞是Keycloak中的配置错误,允许攻击者重定向用户到任意URL,从而可能导致敏感信息暴露和会话劫持。受影响的组件和包包括Red Hat Build of Keycloak、Red Hat JBoss Enterprise Application Platform 8和Red Hat Single Sign-On 7。CVSS v3评分表明这是一个中等风险的漏洞,影响因素包括网络攻击向量、高攻击复杂性和高影响。