800+ IT
News
als RSS Feed abonnieren📚 Keycloak Node.js Adapter bis 3.0 Invalid Token schwache Authentisierung
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in Keycloak Node.js Adapter bis 3.0 ausgemacht. Sie wurde als kritisch eingestuft. Hiervon betroffen ist eine unbekannte Funktion der Komponente Invalid Token Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-287 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 12.05.2017 als Bug 1445271 in Form eines Bug Reports (Bugzilla) publiziert. Das Advisory kann von bugzilla.redhat.com heruntergeladen werden. Die Identifikation der Schwachstelle wird seit dem 05.04.2017 mit CVE-2017-7474 vorgenommen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 05/13/2017).
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSSv3
VulDB Base Score: ≈5.5VulDB Temp Score: ≈5.5
VulDB Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:X
VulDB Zuverlässigkeit: Low
CVSSv2
VulDB Base Score: ≈4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P)VulDB Temp Score: ≈4.1 (CVSS2#E:ND/RL:ND/RC:ND)
VulDB Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Schwache Authentisierung (CWE-287)Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Timeline
05.04.2017 CVE zugewiesen12.05.2017 Advisory veröffentlicht
13.05.2017 VulDB Eintrag erstellt
13.05.2017 VulDB letzte Aktualisierung
Quellen
Advisory: Bug 1445271CVE: CVE-2017-7474 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 13.05.2017Aktualisierung: 13.05.2017
Eintrag: 68.8% komplett
...