Rh-sso7-libunix-dbus-java
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.21949
Распределение по критичности
Критический
1
Высокий
4
Средний
5
Низкий
1
Также сопоставлено как (исходные строки): rh-sso7-libunix-dbus-java
Топ уязвимостей
CVE-2019-14379SubTypeValidator.java в FasterXML jackson-databind до версии 2.9.9.2 неправильно обрабатывает типизацию по умолчанию при использовании ehcache (из-за net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), что приводит к удаленному выполнению кода.
CVE-2020-14389Было обнаружено, что Keycloak до версии 12.0.0 разрешал пользователю только с ролью view-profile управлять ресурсами в новой консоли учетной записи, позволяя получать доступ и изменять данные, которые пользователь не должен был иметь.
CVE-2019-12814Проблема полиморфной типизации обнаружена в FasterXML jackson-databind 2.x вплоть до 2.9.9. Когда включена типизация по умолчанию (глобально или для определенного свойства) для внешне доступной конечной точки JSON, и в classpath службы есть JAR-файл JDOM 1.x или 2.x, злоумышленник может отправить специально созданное сообщение JSON, которое позволит ему читать произвольные локальные файлы на сервере.
CVE-2019-12086Проблема полиморфной типизации была обнаружена в FasterXML jackson-databind 2.x до 2.9.9. Когда Default Typing включен (глобально или для определенного свойства) для внешне доступной конечной точки JSON, служба имеет jar-файл mysql-connector-java (8.0.14 или более ранней версии) в classpath, и злоумышленник может разместить поддельный сервер MySQL, доступный для жертвы, злоумышленник может отправить поддельное сообщение JSON, которое позволит ему читать произвольные локальные файлы на сервере. Это происходит из-за отсутствия проверки com.mysql.cj.jdbc.admin.MiniAdmin.
CVE-2016-9589Undertow в Red Hat wildfly до версии 11.0.0.Beta1 уязвим для истощения ресурсов, что приводит к отказу в обслуживании. Undertow хранит кеш просмотренных HTTP-заголовков в постоянных соединениях. Было обнаружено, что этот кеш можно легко использовать для заполнения памяти мусором до "max-headers" (по умолчанию 200) * "max-header-size" (по умолчанию 1 МБ) на активное TCP-соединение.
CVE-2019-10184undertow до версии 2.0.23.Final уязвим к проблеме утечки информации. Веб-приложения могут иметь предсказуемые структуры каталогов через запросы без завершающих косых черт через API.
CVE-2019-14832Уязвимость обнаружена в Keycloak REST API до версии 8.0.0, где он разрешал доступ пользователей из области, в которой пользователь не был настроен. Аутентифицированный злоумышленник, знающий идентификатор пользователя, может использовать этот недостаток для доступа к несанкционированной информации или для проведения дальнейших атак.
CVE-2019-14820Было обнаружено, что keycloak до версии 8.0.0 предоставляет внутренние конечные точки адаптера в org.keycloak.constants.AdapterConstants, которые можно вызвать с помощью специально созданного URL-адреса. Эта уязвимость может позволить злоумышленнику получить доступ к несанкционированной информации.
CVE-2016-8629Red Hat Keycloak до версии 2.4.0 некорректно проверял разрешения при обработке запросов на удаление пользователя учетной записи службы, отправленных на rest server. Злоумышленник с аутентификацией учетной записи службы может использовать этот недостаток для обхода обычных разрешений и удаления пользователей в отдельной области.
CVE-2020-10776Обнаружена ошибка в Keycloak до версии 12.0.0, где можно добавлять небезопасные схемы для параметра redirect_uri. Эта ошибка позволяет злоумышленнику выполнить межсайтовую атаку с использованием сценариев.
CVE-2017-2585Red Hat Keycloak до версии 2.5.1 имеет реализацию проверки HMAC для токенов JWS, которая использует метод, работающий в непостоянном времени, что потенциально делает приложение уязвимым для атак по времени.