Org.keycloak:keycloak-quarkus-server: sensitive data exposure in keycloak build process 漏洞信息(CVE-2024-10451)

一、漏洞 CVE-2024-10451 基础信息

漏洞标题

Keycloak Quarkus 服务器敏感数据披露漏洞

来源：AIGC 神龙大模型

漏洞描述信息

在 Keycloak 中发现了一个漏洞。该问题发生在 Keycloak 构建过程中，可能会捕获敏感的运行时值（如密码），并将这些值嵌入到字节码中作为默认值，从而导致意外的信息泄露。在 Keycloak 26 中，直接在构建过程中通过环境变量指定的敏感数据也会存储为默认值，在运行时可以访问。由于 PropertyMapper 逻辑无条件地扩展 SPI 选项和 Quarkus 属性的间接使用方式，所有 Keycloak 版本（直到 26.0.2）在构建过程中都会捕获敏感数据作为默认值。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

信息暴露

来源：AIGC 神龙大模型

漏洞标题

Org.keycloak:keycloak-quarkus-server: sensitive data exposure in keycloak build process

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A flaw was found in Keycloak. This issue occurs because sensitive runtime values, such as passwords, may be captured during the Keycloak build process and embedded as default values in bytecode, leading to unintended information disclosure. In Keycloak 26, sensitive data specified directly in environment variables during the build process is also stored as a default values, making it accessible during runtime. Indirect usage of environment variables for SPI options and Quarkus properties is also vulnerable due to unconditional expansion by PropertyMapper logic, capturing sensitive data as default values in all Keycloak versions up to 26.0.2.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

使用硬编码的凭证

来源：美国国家漏洞数据库 NVD

漏洞标题

Red Hat Keycloak 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Red Hat Keycloak是美国红帽（Red Hat）公司的一套为现代应用和服务提供身份验证和管理功能的软件。 Red Hat Keycloak存在安全漏洞，该漏洞源于敏感数据在构建过程中被嵌入字节码或环境变量中作为默认值，导致信息泄露。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-10451 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-10451 的情报信息

标题： CVE-2024-10451 - Red Hat Customer Portal -- 🔗来源链接

标签： vdb-entry x_refsource_REDHAT
神龙速读
标题： 2322096 – (CVE-2024-10451) CVE-2024-10451 org.keycloak:keycloak-quarkus-server: Sensitive Data Exposure in Keycloak Build Process -- 🔗来源链接

标签： issue-tracking x_refsource_REDHAT
神龙速读
标题： RHSA-2024:10175 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:10176 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:10177 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:10178 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2024-10451