Informazioni sul CVE-2024-1249

Keycloak: org.keycloak.protocol.oidc: unvalidated cross-origin messages in checkloginiframe leads to ddos

CWE ID: CWE-346

Base Score (CVSS): N/A

CVE: CVE-2024-1249

Descrizione: Un difetto è stato trovato nel componente OIDC di Keycloak nella “checkLoginIframe”, che consente messaggi cross-origine non validati. Questo difetto consente agli attaccanti di coordinare e inviare milioni di richieste in pochi secondi, con un impatto significativo sulla disponibilità dell’applicazione senza una corretta validazione dell’origine delle richieste di ingresso.

Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 7.4 (High)

Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: None, Integrità: None, Disponibilità: High.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) N Network L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC) L Low L’attacco non richiede condizioni particolari.
Privileges Required (PR) N None Non sono richiesti privilegi.
User Interaction (UI) R Required È richiesta l’interazione di un utente.
Scope (S) C Changed La vulnerabilità impatta su componenti esterni.
Confidentiality Impact (C) N None Nessun impatto sulla riservatezza.
Integrity Impact (I) N None Nessun impatto sull’integrità.
Availability Impact (A) H High Rende il sistema inutilizzabile.

Riferimenti esterni

Prodotti interessati

  • Sconosciuto – Sconosciuto
  • Red Hat – Red Hat AMQ Broker 7
  • Red Hat – Red Hat build of Keycloak 22
  • Red Hat – Red Hat build of Keycloak 22
  • Red Hat – Red Hat build of Keycloak 22
  • Red Hat – Red Hat build of Keycloak 22.0.10
  • Red Hat – Red Hat Single Sign-On 7.6 for RHEL 7
  • Red Hat – Red Hat Single Sign-On 7.6 for RHEL 8
  • Red Hat – Red Hat Single Sign-On 7.6 for RHEL 9
  • Red Hat – RHEL-8 based Middleware Containers
  • Red Hat – RHOSS-1.33-RHEL-8
  • Red Hat – RHOSS-1.33-RHEL-8
  • Red Hat – RHOSS-1.33-RHEL-8
  • Red Hat – RHOSS-1.33-RHEL-8
  • Red Hat – RHOSS-1.33-RHEL-8
  • Red Hat – RHOSS-1.33-RHEL-8
  • Red Hat – RHOSS-1.33-RHEL-8
  • Red Hat – RHOSS-1.33-RHEL-8
  • Red Hat – RHOSS-1.33-RHEL-8
  • Red Hat – RHSSO 7.6.8
  • Red Hat – Migration Toolkit for Applications 6
  • Red Hat – Migration Toolkit for Applications 7
  • Red Hat – Red Hat build of Apicurio Registry 2
  • Red Hat – Red Hat Data Grid 8
  • Red Hat – Red Hat Decision Manager 7
  • Red Hat – Red Hat Developer Hub
  • Red Hat – Red Hat Fuse 7
  • Red Hat – Red Hat JBoss Data Grid 7
  • Red Hat – Red Hat JBoss Enterprise Application Platform 6
  • Red Hat – Red Hat JBoss Enterprise Application Platform 6
  • Red Hat – Red Hat JBoss Enterprise Application Platform 6
  • Red Hat – Red Hat JBoss Enterprise Application Platform 6
  • Red Hat – Red Hat JBoss Enterprise Application Platform 6
  • Red Hat – Red Hat JBoss Enterprise Application Platform 6
  • Red Hat – Red Hat JBoss Enterprise Application Platform 6
  • Red Hat – Red Hat JBoss Enterprise Application Platform 6
  • Red Hat – Red Hat JBoss Enterprise Application Platform 7
  • Red Hat – Red Hat JBoss Enterprise Application Platform 8
  • Red Hat – Red Hat JBoss Enterprise Application Platform Expansion Pack
  • Red Hat – Red Hat Process Automation 7
  • Red Hat – streams for Apache Kafka

Relazioni con altri prodotti

Produttore:Red Hat
Prodotto: Red Hat Decision Manager 7
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat JBoss Data Grid 7
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 6
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 7
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform Expansion Pack
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat Process Automation 7
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat Single Sign-On 7.6 for RHEL 7
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat Single Sign-On 7.6 for RHEL 8
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat Single Sign-On 7.6 for RHEL 9
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: RHEL-8 based Middleware Containers
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat Data Grid 8
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat build of Keycloak 22
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat build of Keycloak 22.0.10
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat AMQ Broker 7
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat Fuse 7
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: streams for Apache Kafka
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 8
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: RHSSO 7.6.8
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Migration Toolkit for Applications 6
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat build of Apicurio Registry 2
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Migration Toolkit for Applications 7
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: RHOSS-1.33-RHEL-8
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Produttore:Red Hat
Prodotto: Red Hat Developer Hub
Anno: 2024
CWE: CWE-346
CVSS: 0.0

Ulteriori risorse disponibili