关键信息 漏洞描述 漏洞名称: Keycloak's admin API allows low privilege users to use administrative functions 严重性: 高 受影响版本: < 24.0.5 已修复版本: 24.0.5 漏洞详情 描述: 用户具有低权限(即仅在域中)的用户能够利用Keycloak管理员接口中的管理功能。这个问题存在显著的安全风险,因为它允许未经授权的用户执行管理员保留的操作,可能导致数据泄露或系统妥协。 致谢: 特别感谢Maurizio Agazzini报告此问题并帮助改进项目。 参考链接 GHSA-2cww-fqmg-4jgc keycloak/keycloak@ d9f0c84 https://nvd.nist.gov/vuln/detail/CVE-2024-3656 https://access.redhat.com/security/cve/CVE-2024-3656 https://bugzilla.redhat.com/show_bug.cgi?id=2274403 https://access.redhat.com/errata/RHSA-2024:3575 发布信息 发布者: rmartinc 发布日期: 2024年6月11日 发布到GitHub Advisory Database: 2024年6月12日 审查日期: 2024年6月12日 发布到National Vulnerability Database: 2天前 最后更新日期: 昨天 其他信息 CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: Low - User interaction: None - Scope: Unchanged - Confidentiality: High - Integrity: High - Availability: None EPSS score: 0.060% (26th percentile) 弱点: CWE-200, CWE-269, CWE-284 CVE ID: CVE-2024-3656 GHSA ID: GHSA-2cww-fqmg-4jgc 源代码: keycloak/keycloak 历史: 该公告已编辑。查看历史记录。