Недостаток был обнаружен в Keycloak, решении для управления идентификацией и доступом с открытым исходным кодом. Когда клиентская заявка на…
Недостаток был обнаружен в Keycloak, решении для управления идентификацией и доступом с открытым исходным кодом. Когда клиентская заявка настроена на прием широкого перенаправления унифицированных идентификаторов ресурсов (URI), удаленный злоумышленник может манипулировать процессом аутентификации путем создания специального веб-адреса. Если пользователь нажимает на эту ссылку, клиентское приложение может неправильно расставить приоритеты контролируемой злоумышленником информации над законными данными. Эта уязвимость, известная как загрязнение параметров HTTP, может позволить злоумышленнику обойти меры безопасности или получить несанкционированный доступ к ресурсам.
Продукт получает сложные входные данные, содержащие несколько элементов или полей, которые должны быть взаимно согласованы, однако не проверяет или некорректно проверяет действительную согласованность входных данных.
https://cwe.mitre.org/data/definitions/1288.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| keycloak | Отслеживается | |
| build_of_keycloak | * | Отслеживается |