Informazioni sul CVE-2024-7318
Keycloak-core: one time passcode (otp) is valid longer than expiration timeseverity
CWE ID: CWE-324
Base Score (CVSS): N/A
CVE: CVE-2024-7318
Descrizione: A vulnerability was found in Keycloak. Expired OTP codes are still usable when using FreeOTP when the OTP token period is set to 30 seconds (default). Instead of expiring and deemed unusable around 30 seconds in, the tokens are valid for an additional 30 seconds totaling 1 minute. A one time passcode that is valid longer than its expiration time increases the attack window for malicious actors to abuse the system and compromise accounts. Additionally, it increases the attack surface because at any given time, two OTPs are valid.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: Low, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://access.redhat.com/errata/RHSA-2024:6502
- https://access.redhat.com/errata/RHSA-2024:6503
- https://access.redhat.com/security/cve/CVE-2024-7318
- https://bugzilla.redhat.com/show_bug.cgi?id=2301876
Prodotti interessati
- Sconosciuto – Sconosciuto
- Red Hat – Red Hat Build of Keycloak
- Red Hat – Red Hat build of Keycloak 24
- Red Hat – Red Hat build of Keycloak 24
- Red Hat – Red Hat build of Keycloak 24
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Build of Keycloak
Anno: 2024
CWE: CWE-324
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat build of Keycloak 24
Anno: 2024
CWE: CWE-324
CVSS: 0.0