开源身份和访问管理平台 Keycloak 发布了安全更新以解决一个高严重性漏洞

阅读量44449

发布时间 : 2024-10-11 10:37:56

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/keycloak-patches-cve-2024-3656-granting-low-privilege-users-administrative-access/

译文仅供参考,具体内容表达以及含义原文为准。

开源身份和访问管理平台 Keycloak 发布了一个安全更新,以解决一个可能允许低权限用户未经授权访问管理功能的高严重性漏洞。

CVE-2024-3656

该漏洞由安全研究员 Maurizio Agazzini 发现,被追踪为 CVE-2024-3656,CVSS 得分为 8.1。它影响到 24.0.5 之前的所有 Keycloak 版本。

该漏洞存在于 Keycloak 管理 REST API 的某些端点中。通过利用这些端点,拥有低级用户账户的恶意行为者有可能执行命令并访问通常为管理员保留的敏感信息。这可能导致一系列严重的安全漏洞,包括

数据泄露: 未经授权访问敏感的用户数据、系统配置和应用程序机密。
系统受损:修改系统设置,可能会中断服务或让攻击者进一步控制基础设施。
权限升级: 提升用户权限以完全控制 Keycloak 服务器和连接的应用程序。
Keycloak 已在 24.0.5 版本中解决了此漏洞。强烈建议所有用户立即将其部署更新到最新版本。

Ezoic
您能做些什么?

更新 Keycloak: 如果您运行的 Keycloak 版本早于 24.0.5,请尽快升级到已修补的版本。
查看 API 活动: 监控 Keycloak 日志,查看是否有可疑的 API 请求,尤其是来自低权限账户的请求。
实施最低权限: 确保用户只拥有其角色所需的必要权限。
保持信息畅通: 随时了解 Keycloak 的最新安全公告和补丁。
通过迅速采取行动,企业可以降低 CVE-2024-3656 带来的风险,并保护其关键系统和数据。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66