Zeitnah aktualisieren
Automatisch aus Release-, Repo- und CVE-Daten abgeleitet — keine Wertung durch ein Sprachmodell.
Keycloak hat eine Schwachstelle im Brute-Force-Schutz, bei der Angreifer durch parallele Login-Versuche mehr Passwort-Rateversuche durchführen können als eigentlich erlaubt, wodurch Benutzerkonten leichter kompromittiert werden können.
In Keycloak können Benutzer mit E-Mail-ähnlichen Benutzernamen durch andere Nutzer ausgesperrt werden, wenn die Selbstregistrierung aktiviert ist.
Keycloak erlaubt die Verwendung von E-Mail-Adressen als Benutzernamen, ohne zu prüfen ob bereits ein Konto mit dieser E-Mail existiert, was dazu führen kann dass Benutzer sich nicht mehr anmelden oder ihr Passwort zurücksetzen können.
Eine Schwachstelle in Keycloak ermöglicht es Administratoren, LDAP-Verbindungseinstellungen zu ändern und dabei die konfigurierten Anmeldedaten an einen von ihnen kontrollierten Server zu senden, wodurch Domain-Zugangsdaten preisgegeben werden.
Keycloak's SAML-Adapter ändern bei der Anmeldung die Session-ID nicht ordnungsgemäß, wodurch Angreifer bestehende Sessions übernehmen und sich als legitime Benutzer ausgeben können.
Eine Fehlkonfiguration in Keycloak ermöglicht es Angreifern, Benutzer auf beliebige Webseiten umzuleiten, wenn localhost-URLs als gültige Weiterleitungsadressen konfiguriert sind. Dadurch können Autorisierungscodes gestohlen und Benutzersitzungen übernommen werden.
Eine Schwachstelle in Keycloaks SAML-Signaturprüfung ermöglicht es Angreifern, gefälschte Authentifizierungsantworten zu erstellen, die die Sicherheitsprüfung umgehen und zu Rechteausweitung oder Identitätsmissbrauch führen können.
In Keycloak bleibt ein abgelaufener Einmalpasscode bei Verwendung von FreeOTP doppelt so lange gültig wie vorgesehen, wodurch Angreifer ein größeres Zeitfenster haben, um Konten zu kompromittieren.
Keycloak speichert versehentlich sensible Daten wie Passwörter während des Build-Prozesses im Bytecode, wodurch diese zur Laufzeit zugänglich werden und vertrauliche Informationen preisgegeben werden können.
Eine Schwachstelle in Keycloak ermöglicht es Angreifern, den Server durch komplexe reguläre Ausdrücke zum Absturz zu bringen, wenn nicht vertrauenswürdige Daten verarbeitet werden.
Eine Schwachstelle in Keycloak ermöglicht es privilegierten Benutzern, sensible Informationen aus Vault-Dateien außerhalb des vorgesehenen Kontexts zu lesen. Angreifer benötigen bereits hohe Zugriffsrechte auf den Keycloak-Server.
Keycloak Version 26 und früher können durch manipulierte Proxy-Header zu einem Denial-of-Service-Angriff führen, bei dem das System durch aufwändige DNS-Auflösungen blockiert wird.
Eine Schwachstelle in Keycloak ermöglicht es Angreifern im lokalen Netzwerk, sich als beliebige Benutzer oder Clients auszugeben, wenn mTLS-Authentifizierung über einen Reverse Proxy ohne Pass-Through-TLS-Terminierung verwendet wird.
Eine Schwachstelle in Keycloak ermöglicht es Administratoren mit Berechtigung zur Änderung von Realm-Einstellungen, den Dienst durch das Einfügen von Zeilenwechseln in Sicherheitsheader zum Absturz zu bringen, wodurch Benutzer nicht mehr auf Anwendungen zugreifen können.
Keycloak-Administratoren können durch spezielle Platzhalter in konfigurierbaren URLs auf vertrauliche Server-Umgebungsvariablen und Systemeigenschaften zugreifen, wodurch sensible Informationen preisgegeben werden können.
In Keycloak funktioniert eine Konfigurationsoption für verschlüsselte Kommunikation zwischen Servern nicht richtig, wodurch die Datenübertragung unverschlüsselt erfolgt statt wie beabsichtigt gesichert.
Keycloak überprüft nach einem Passwort-Reset nicht ordnungsgemäß den Status von Active Directory-Konten, wodurch sich Benutzer mit abgelaufenen oder deaktivierten Konten möglicherweise trotzdem anmelden können.
Keycloak weist Benutzer fälschlicherweise Organisationen zu, basierend nur auf E-Mail- oder Benutzernamen-Mustern. Dies kann Angreifer dazu verleiten, sich als Organisationsmitglieder auszugeben, wenn die Selbstregistrierung aktiviert ist.
Keycloak überspringt fälschlicherweise die Zertifikatsüberprüfung, wenn eine bestimmte Verifikationsrichtlinie auf 'ALL' gesetzt wird, wodurch unsichere Verbindungen ermöglicht werden können.
Eine Schwachstelle in Keycloak ermöglicht es Benutzern, erforderliche Sicherheitsmaßnahmen wie die Einrichtung der Zwei-Faktor-Authentifizierung zu umgehen.
In Keycloak können Angreifer bei der ersten Anmeldung über einen Identity Provider ihre E-Mail-Adresse auf die eines Opfers ändern, wodurch eine Bestätigungs-E-Mail an das Opfer gesendet wird, die bei Klick Zugang zum Opfer-Konto gewährt.
Eine Schwachstelle in Keycloak ermöglicht es Administratoren mit eingeschränkten Rechten, sich selbst höhere Berechtigungen zu verschaffen und dadurch vollen Zugriff auf Systemkonfiguration und Nutzerdaten zu erlangen.
Keycloak-Benutzer können durch spezielle Zeichen bei der E-Mail-Registrierung unerwünschte E-Mails über den Server versenden, was als Ausgangspunkt für weitere Angriffe dienen könnte.
Eine Schwachstelle in Keycloaks Benutzerkonsole ermöglicht es Angreifern, gefälschte Fehlermeldungen über URL-Parameter einzuschleusen, die dann in der vertrauenswürdigen Benutzeroberfläche angezeigt werden und für Phishing-Angriffe missbraucht werden können.
Eine Schwachstelle in Keycloak ermöglicht es Angreifern, schädlichen Code in Realm-Import-Dokumente einzuschleusen, indem sie die Platzhalter-Ersetzungsfunktion ausnutzen. Dies kann zu unerwünschten Auswirkungen in der Keycloak-Umgebung führen.
Keycloak-Server können durch wiederholte TLS-Verbindungsanfragen von Angreifern überlastet werden, da eine Java-Standardeinstellung schädliche Neuverhandlungen erlaubt. Dies kann den Service zum Absturz bringen, ohne dass sich Angreifer authentifizieren müssen.
Eine Schwachstelle in Keycloak ermöglicht es Angreifern, über manipulierte Pfade den Admin-Bereich zu erreichen, obwohl dieser durch einen Proxy geschützt sein sollte.
Keycloak-Server bindet im Debug-Modus den Debug-Port an alle Netzwerkschnittstellen, wodurch Angreifer im lokalen Netzwerk Remote-Code-Execution erreichen können.
Eine Schwachstelle in Keycloaks LDAP-Benutzeranbindung ermöglicht es authentifizierten Administratoren, durch bösartige LDAP-Serverkonfigurationen unsichere Java-Objektdeserialisierung auszulösen, was zu Codeausführung führen kann.
Eine Sicherheitslücke in Keycloak ermöglicht es Angreifern, sich als beliebige Benutzer auszugeben, indem sie manipulierte SAML-Nachrichten mit verschlüsselten Behauptungen senden, was zu unbefugtem Zugriff und möglicher Dateneinsicht führt.