Недостаток был обнаружен в клиентской политике Keycloak, в частности, в компоненте «org.keycloak.protocol.idc`». Когда для обеспечения собл…
Недостаток был обнаружен в клиентской политике Keycloak, в частности, в компоненте «org.keycloak.protocol.idc`». Когда для обеспечения соблюдения ограничений безопасности используются определенные поставщики условий (клиент-тип, клиент-ролевы, клиентские атрибуты, клиентские краткие) используются для обеспечения безопасности, исполнитель «отклонения-ropc-grant`» молча обходит стороной. Это позволяет неаутентифицированному удаленному злоумышленнику получать токены через грант Proword Credentials (ROPC) владельца ресурса, даже если политика явно настроена на его блокировку. Этот обход может привести к несанкционированному доступу и раскрытию информации.
Продукт не обрабатывает или некорректно обрабатывает ситуацию, когда привилегий недостаточно для доступа к ресурсам или функциям в соответствии с установленными разрешениями. Это может вынуждать продукт следовать неожиданным путям выполнения кода, оставляя его в недопустимом состоянии.
https://cwe.mitre.org/data/definitions/280.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| keycloak | Отслеживается | |
| build_of_keycloak | * | Отслеживается |
| keycloak | Отслеживается | |
| keycloak | Отслеживается | |
| keycloak | Отслеживается | |
| keycloak | Отслеживается |