漏洞标题
使用 ODC 离线更新令牌的会话接管
漏洞描述信息
使用oidc离线刷新令牌进行会话接管
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
会话固定
漏洞标题
Keycloak: session takeover with oidc offline refreshtokens
漏洞描述信息
A flaw was found in the offline_access scope in Keycloak. This issue would affect users of shared computers more (especially if cookies are not cleared), due to a lack of root session validation, and the reuse of session ids across root and user authentication sessions. This enables an attacker to resolve a user session attached to a previously authenticated user; when utilizing the refresh token, they will be issued a token for the original user.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
会话固定
漏洞标题
Red Hat Keycloak 代码问题漏洞
漏洞描述信息
Red Hat Keycloak是美国红帽(Red Hat)公司的一套为现代应用和服务提供身份验证和管理功能的软件。 Red Hat Keycloak offline_access存在安全漏洞,该漏洞源于缺少root会话验证,以及跨root和用户重用会话 ID,攻击者能够解析附加到先前经过身份验证的用户的用户会话,在使用刷新令牌时,他们将获得原始用户的令牌。
CVSS信息
N/A
漏洞类别
代码问题