آسیبپذیری با شناسه CVE-2023-6291 و شدت بالا (7.1) در Red Hat به دلیل وجود نقص در منطق اعتبارسنجی redirect_uri در Keycloak، امکان دور زدن هاستهای (hosts) مجاز را برای مهاجم فراهم میکند. با بهرهبرداری از این آسیبپذیری و سرقت توکن دسترسی، مهاجم میتواند هویت سایر کاربران را جعل کند.
Red Hat Single Sign-On 7.6 یک سرور مستقل بر اساس پروژه Keycloak است که قابلیتهای تأیید هویت و استانداردهای single sign-on برای برنامههای کاربردی وب و تلفن همراه ارائه میدهد.
محصولات تحت تأثیر
این آسیبپذیری محصولاتRed Hat شاملRed Hat build of Keycloak نسخههای 22 و 22.0.7، Red Hat Single Sign-On نسخه 7.6 برای RHEL نسخههای 7، 8 و 9، RHEL-8 based Middleware Containers و Single Sign-On نسخه 7.6.6 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Red Hat build of Keycloak،Red Hat Single Sign-On و RHEL-8 based Middleware Containers به نسخههای وصله شده اقدام نمایند.
منابع خبر:
[1] https://access.redhat.com/errata/RHSA-2023:7854
[2] https://access.redhat.com/security/cve/CVE-2023-6291
- 55