5
CVE-2023-3597
- EPSS 0.09%
- Veröffentlicht 25.04.2024 13:15:50
- Zuletzt bearbeitet 21.11.2024 08:17:38
- Quelle secalert@redhat.com
- Teams Watchlist Login
- Unerledigt Login
A flaw was found in Keycloak, where it does not correctly validate its client step-up authentication in org.keycloak.authentication. This flaw allows a remote user authenticated with a password to register a false second authentication factor along with an existing one and bypass authentication.
Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD
Diese Information steht angemeldeten Benutzern zur Verfügung. Login
Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).
Collection URLhttps://www.keycloak.org/
≫
Paket
keycloak
Default Statusunaffected
Version <
22.0.10
Version
0
Status
affected
Version <
24.0.3
Version
23.0.0
Status
affected
HerstellerRed Hat
≫
Produkt
Red Hat build of Keycloak 22
Default Statusaffected
Version <
*
Version
22.0.10-1
Status
unaffected
HerstellerRed Hat
≫
Produkt
Red Hat build of Keycloak 22
Default Statusaffected
Version <
*
Version
22-13
Status
unaffected
HerstellerRed Hat
≫
Produkt
Red Hat build of Keycloak 22
Default Statusaffected
Version <
*
Version
22-16
Status
unaffected
HerstellerRed Hat
≫
Produkt
Red Hat build of Keycloak 22.0.10
Default Statusunaffected
HerstellerRed Hat
≫
Produkt
RHSSO 7.6.8
Default Statusunaffected
Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.
| Typ | Quelle | Score | Percentile |
|---|---|---|---|
| EPSS | FIRST.org | 0.09% | 0.268 |
| Quelle | Base Score | Exploit Score | Impact Score | Vector String |
|---|---|---|---|---|
| secalert@redhat.com | 5 | 1.6 | 3.4 |
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L
|
CWE-287 Improper Authentication
When an actor claims to have a given identity, the product does not prove or insufficiently proves that the claim is correct.