Keycloak: org.keycloak.protocol.oidc: unvalidated cross-origin messages in checkloginiframe leads to ddos 漏洞信息(CVE-2024-1249)

一、漏洞 CVE-2024-1249 基础信息

漏洞标题

Keycloak：org.keycloak.protocol.oidc：checkloginiframe中的未经验证的跨源消息会导致DDoS攻击

来源：AIGC 神龙大模型

漏洞描述信息

Keycloak的OIDC组件中发现了一个名为"checkLoginIframe"的漏洞，该漏洞允许未经验证的跨源消息。这个漏洞允许攻击者通过简单的代码在几秒钟内协调并发送数百万个请求，如果没有对传入消息进行正确的源验证，将严重影响应用程序的可用性。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

来源：AIGC 神龙大模型

漏洞类别

源验证错误

来源：AIGC 神龙大模型

漏洞标题

Keycloak: org.keycloak.protocol.oidc: unvalidated cross-origin messages in checkloginiframe leads to ddos

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A flaw was found in Keycloak's OIDC component in the "checkLoginIframe," which allows unvalidated cross-origin messages. This flaw allows attackers to coordinate and send millions of requests in seconds using simple code, significantly impacting the application's availability without proper origin validation for incoming messages.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

源验证错误

来源：美国国家漏洞数据库 NVD

漏洞标题

Red Hat Keycloak 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Red Hat Keycloak是美国红帽（Red Hat）公司的一套为现代应用和服务提供身份验证和管理功能的软件。 Red Hat Keycloak 存在安全漏洞，该漏洞源于允许未经验证的跨域消息，允许攻击者使用简单的代码在几秒钟内协调和发送数百万个请求。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-1249 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-1249 的情报信息

https://access.redhat.com/security/cve/CVE-2024-1249 vdb-entry x_refsource_REDHAT
https://bugzilla.redhat.com/show_bug.cgi?id=2262918 issue-tracking x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2024:1860 vendor-advisory x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2024:1861 vendor-advisory x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2024:1862 vendor-advisory x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2024:1864 vendor-advisory x_refsource_REDHAT
标题： RHSA-2024:1866 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:1867 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:1868 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
https://access.redhat.com/errata/RHSA-2024:2945 vendor-advisory x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2024:4057 vendor-advisory x_refsource_REDHAT
https://nvd.nist.gov/vuln/detail/CVE-2024-1249

一、 漏洞 CVE-2024-1249 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-1249 的公开POC

三、漏洞 CVE-2024-1249 的情报信息

一、漏洞 CVE-2024-1249 基础信息