OpenTofu kann versehentlich sensible Variablen in Modul-Quellen und Backend-Konfigurationen preisgeben, wenn statische Auswertung aktiviert ist, obwohl dies blockiert werden sollte.
OpenTofu, ein Infrastructure-as-Code-Tool, ist anfällig für Denial-of-Service-Angriffe während der Modulinstallation, wenn bösartig gestaltete TLS-Zertifikate oder Archive von nicht vertrauenswürdigen Quellen verwendet werden, was zu hoher CPU-Last oder Speicherverbrauch führen kann.
OpenTofu prüft TLS-Zertifikate nicht korrekt, wenn ausgeschlossene Subdomains und Wildcard-Zertifikate kombiniert werden, wodurch Angreifer mit gültigen aber widersprüchlichen Zertifikaten Verbindungen zu geschützten Servern herstellen könnten.
OpenTofu, ein Infrastructure-as-Code-Tool, ist anfällig für Denial-of-Service-Angriffe durch bösartig erstellte ZIP-Archive beim Installieren von Modulen oder Providern, was zu hoher CPU-Auslastung führt.
OpenTofu kann beim Installieren von Modulen aus nicht vertrauenswürdigen Quellen durch bösartige TLS-Zertifikate oder Tar-Archive zum Absturz gebracht werden, was zu unbegrenztem Speicherverbrauch oder hoher CPU-Last führt.
OpenTofu folgt bei der Provider-Installation symbolischen Links im .terraform/providers Verzeichnis und kann dadurch Dateien in beliebige Verzeichnisse schreiben, wenn ein Angreifer das Arbeitsverzeichnis kontrolliert.
OpenTofu kann bei der Installation von Modulen oder Providern von bösartigen Servern in eine Endlosschleife geraten, wodurch der Installationsprozess blockiert und Systemressourcen erschöpft werden.
Keycloak hat eine Schwachstelle im Brute-Force-Schutz, bei der Angreifer durch parallele Login-Versuche mehr Passwort-Rateversuche durchführen können als eigentlich erlaubt, wodurch Benutzerkonten leichter kompromittiert werden können.
In Keycloak können Benutzer mit E-Mail-ähnlichen Benutzernamen durch andere Nutzer ausgesperrt werden, wenn die Selbstregistrierung aktiviert ist.
Keycloak erlaubt die Verwendung von E-Mail-Adressen als Benutzernamen, ohne zu prüfen ob bereits ein Konto mit dieser E-Mail existiert, was dazu führen kann dass Benutzer sich nicht mehr anmelden oder ihr Passwort zurücksetzen können.
Eine Schwachstelle in Keycloak ermöglicht es Administratoren, LDAP-Verbindungseinstellungen zu ändern und dabei die konfigurierten Anmeldedaten an einen von ihnen kontrollierten Server zu senden, wodurch Domain-Zugangsdaten preisgegeben werden.
Keycloak's SAML-Adapter ändern bei der Anmeldung die Session-ID nicht ordnungsgemäß, wodurch Angreifer bestehende Sessions übernehmen und sich als legitime Benutzer ausgeben können.
Eine Fehlkonfiguration in Keycloak ermöglicht es Angreifern, Benutzer auf beliebige Webseiten umzuleiten, wenn localhost-URLs als gültige Weiterleitungsadressen konfiguriert sind. Dadurch können Autorisierungscodes gestohlen und Benutzersitzungen übernommen werden.
Eine Schwachstelle in Keycloaks SAML-Signaturprüfung ermöglicht es Angreifern, gefälschte Authentifizierungsantworten zu erstellen, die die Sicherheitsprüfung umgehen und zu Rechteausweitung oder Identitätsmissbrauch führen können.
In Keycloak bleibt ein abgelaufener Einmalpasscode bei Verwendung von FreeOTP doppelt so lange gültig wie vorgesehen, wodurch Angreifer ein größeres Zeitfenster haben, um Konten zu kompromittieren.
Keycloak speichert versehentlich sensible Daten wie Passwörter während des Build-Prozesses im Bytecode, wodurch diese zur Laufzeit zugänglich werden und vertrauliche Informationen preisgegeben werden können.
Eine Schwachstelle in Keycloak ermöglicht es Angreifern, den Server durch komplexe reguläre Ausdrücke zum Absturz zu bringen, wenn nicht vertrauenswürdige Daten verarbeitet werden.
Eine Schwachstelle in Keycloak ermöglicht es privilegierten Benutzern, sensible Informationen aus Vault-Dateien außerhalb des vorgesehenen Kontexts zu lesen. Angreifer benötigen bereits hohe Zugriffsrechte auf den Keycloak-Server.
Keycloak Version 26 und früher können durch manipulierte Proxy-Header zu einem Denial-of-Service-Angriff führen, bei dem das System durch aufwändige DNS-Auflösungen blockiert wird.
Eine Schwachstelle in Keycloak ermöglicht es Angreifern im lokalen Netzwerk, sich als beliebige Benutzer oder Clients auszugeben, wenn mTLS-Authentifizierung über einen Reverse Proxy ohne Pass-Through-TLS-Terminierung verwendet wird.
Eine Schwachstelle in Keycloak ermöglicht es Administratoren mit Berechtigung zur Änderung von Realm-Einstellungen, den Dienst durch das Einfügen von Zeilenwechseln in Sicherheitsheader zum Absturz zu bringen, wodurch Benutzer nicht mehr auf Anwendungen zugreifen können.
Keycloak-Administratoren können durch spezielle Platzhalter in konfigurierbaren URLs auf vertrauliche Server-Umgebungsvariablen und Systemeigenschaften zugreifen, wodurch sensible Informationen preisgegeben werden können.
In Keycloak funktioniert eine Konfigurationsoption für verschlüsselte Kommunikation zwischen Servern nicht richtig, wodurch die Datenübertragung unverschlüsselt erfolgt statt wie beabsichtigt gesichert.
Keycloak überprüft nach einem Passwort-Reset nicht ordnungsgemäß den Status von Active Directory-Konten, wodurch sich Benutzer mit abgelaufenen oder deaktivierten Konten möglicherweise trotzdem anmelden können.
| Item | Vendor | Version | Stand | |
|---|---|---|---|---|
| 1Panel | 1Panel-dev | v2.1.13 | 20.05.2026 | |
| act | nektos | v0.2.89 | 01.06.2026 | |
| AlmaLinux | AlmaLinux OS Foundation | — | — | |
| astro | withastro | @astrojs/markdown-satteri@0.2.2 | 03.06.2026 | |
| awesome-cheatsheets | LeCoupa | — | — | |
| awesome-docker | veggiemonk | v0.8 | 07.08.2015 |