CVE-2024-7318

DEB

Средний

В Keycloak обнаружена уязвимость. Срок действия OTP-кодов истекает, но они все еще пригодны для использования при использовании FreeOTP, ко…

CVSS

4.8

Средний

EPSS

0.00

p30

Опубликовано

2024-01-01

Обновлено

2024-01-01

Описание

В Keycloak обнаружена уязвимость. Срок действия OTP-кодов истекает, но они все еще пригодны для использования при использовании FreeOTP, когда период действия OTP-токена установлен в 30 секунд (по умолчанию). Вместо того чтобы истечь и считаться непригодными для использования примерно через 30 секунд, токены действительны в течение дополнительных 30 секунд, что в сумме составляет 1 минуту. Одноразовый пароль, действительный дольше, чем время его истечения, увеличивает окно атаки для злоумышленников, позволяющее злоупотреблять системой и взламывать учетные записи. Кроме того, это увеличивает поверхность атаки, поскольку в любой момент времени действительны два OTP.

Теги · CWE

Без аутентификации

CWE-324

Затронутые продукты

Build_of_keycloak 22.0–24.0.7

Вектор CVSS

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

Хронология

2024-01-01

Опубликована

2024-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: H

Высокая (H)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: L

Низкое (L)

Воздействие на целостность

I: L

Низкое (L)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.004 · p30

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Продукт	Вендор	Статус
keycloak		Отслеживается
build_of_keycloak	*	Отслеживается

Источники данных

DEB

CVE