Informazioni sul CVE-2024-4629
Keycloak: potential bypass of brute force protection
CWE ID: CWE-837
Base Score (CVSS): N/A
CVE: CVE-2024-4629
Descrizione: A vulnerability was found in Keycloak. This flaw allows attackers to bypass brute force protection by exploiting the timing of login attempts. By initiating multiple login requests simultaneously, attackers can exceed the configured limits for failed attempts before the system locks them out. This timing loophole enables attackers to make more guesses at passwords than intended, potentially compromising account security on affected systems.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: Low, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://access.redhat.com/errata/RHSA-2024:6493
- https://access.redhat.com/errata/RHSA-2024:6494
- https://access.redhat.com/errata/RHSA-2024:6495
- https://access.redhat.com/errata/RHSA-2024:6497
- https://access.redhat.com/errata/RHSA-2024:6499
- https://access.redhat.com/errata/RHSA-2024:6500
- https://access.redhat.com/errata/RHSA-2024:6501
- https://access.redhat.com/security/cve/CVE-2024-4629
- https://bugzilla.redhat.com/show_bug.cgi?id=2276761
Prodotti interessati
- Sconosciuto – Sconosciuto
- Red Hat – Red Hat Build of Keycloak
- Red Hat – Red Hat build of Keycloak 22
- Red Hat – Red Hat build of Keycloak 22
- Red Hat – Red Hat build of Keycloak 22
- Red Hat – Red Hat Single Sign-On 7
- Red Hat – Red Hat Single Sign-On 7.6 for RHEL 7
- Red Hat – Red Hat Single Sign-On 7.6 for RHEL 8
- Red Hat – Red Hat Single Sign-On 7.6 for RHEL 9
- Red Hat – RHEL-8 based Middleware Containers
- Red Hat – Red Hat JBoss Enterprise Application Platform 8
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Single Sign-On 7
Anno: 2024
CWE: CWE-837
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Single Sign-On 7.6 for RHEL 7
Anno: 2024
CWE: CWE-837
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Single Sign-On 7.6 for RHEL 8
Anno: 2024
CWE: CWE-837
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Single Sign-On 7.6 for RHEL 9
Anno: 2024
CWE: CWE-837
CVSS: 0.0
Produttore:Red Hat
Prodotto: RHEL-8 based Middleware Containers
Anno: 2024
CWE: CWE-837
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat build of Keycloak 22
Anno: 2024
CWE: CWE-837
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 8
Anno: 2024
CWE: CWE-837
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Build of Keycloak
Anno: 2024
CWE: CWE-837
CVSS: 0.0