Неправильное управление параметром праздного тайм-аута в интерфейсе Keycloak Arqit SKA-Platform позволяет злоумышленнику выдавать себя за а…
Неправильное управление параметром праздного тайм-аута в интерфейсе Keycloak Arqit SKA-Platform позволяет злоумышленнику выдавать себя за аутентифицированного пользователя-арендатора через неуроченный сеанс браузера. Этот вопрос затрагивает платформу Symmetric Key Agreement: до 26.03.
Продукт некорректно обрабатывает ситуацию, когда ожидаемое количество параметров, полей или аргументов не предоставлено во входных данных, либо когда эти параметры не определены.
https://cwe.mitre.org/data/definitions/233.html →Открыть в коллекции CWE →В обстоятельствах, когда приложение хранит важные данные на стороне клиента в токенах (cookie-файлах, URL, файлах данных и т. п.), этими данными можно манипулировать. Если клиентские или серверные компоненты приложения повторно интерпретируют эти данные как токены аутентификации или данные (например, цены на товары в магазине или информацию о кошельке), то даже непрозрачная манипуляция этими данными может принести результат злоумышленнику. В данном шаблоне злоумышленник подрывает допущение о том, что клиентские токены были надлежащим образом защищены от подделки с помощью шифрования или запутывания.
https://capec.mitre.org/data/definitions/39.html →Открыть в коллекции CAPEC →