Red Hat Keycloak权限管理不当漏洞CVE-2024-3656

Red Hat Keycloak是红帽（Red Hat）公司为现代应用和服务提供身份验证和管理功能软件，是一套开源身份和访问管理解决方案。

一、基本情况

Keycloak由Red Hat开发和维护，它提供一套功能强大的工具和服务，用于帮助应用程序和服务管理用户身份验证、授权和访问控制。

Keycloak 支持多种身份验证协议和标准，如OpenID Connect、OAuth 2.0和SAML 2.0，可轻松集成身份验证和授权功能到应用程序。

除此之外，Keycloak 还提供用户管理、角色管理、会话管理、多因素身份验证、单点登录和集成等诸多功能供应用程序开发者选择。

栋科技漏洞库注意到Red Hat Keycloak近日发布一项更新，用于修复某些端点上 Keycloak 管理 REST API 中的CVE-2024-3656漏洞。

二、漏洞分析

CVE-2024-3656漏洞存在于 Keycloak 管理 REST API 的某些端点中，它会影响到Red Hat Keycloak 24.0.5 之前的所有Keycloak 版本。

CVE-2024-3656 漏洞允许低权限用户未经授权放访问管理功能，允许用户执行为管理员保留的操作，可能导致数据泄露或系统受损。

该漏洞由安全研究员Maurizio Agazzini发现并上报，漏洞被追踪为CVE-2024-3656，CVSS评分为8.1，目前已在24.0.5版本得到解决。

漏洞可能导致未经授权用户访问敏感用户资料、系统配置以及其他机密信息，也可能导致系统服务中断或完全控制Keycloak服务器。

三、漏洞影响

Red Hat Keycloak <= 24.0.5

四、修复建议

目前Keycloak已在 24.0.5 版本中解决了此漏洞，强烈建议所有用户立即将其部署更新到最新版本。