CVE-2022-3916 — Vulnetix

CVE-2022-3916 PUBLISHED

Es existiert eine Schwachstelle in Keycloak. Der Fehler besteht im Bereich offline_access, bei der gemeinsamen Nutzung von Computern durch mehrere User. Die Validierung von Root-Sitzungen fehlt und Sitzungskennungen zwischen Root- und Benutzer-Authentifizierungssitzungen werden wiederverwendet. Ein Angreifer kann diese Schwachstelle ausnutzen, um eine Benutzersitzung aufzulösen, die mit einem zuvor authentifizierten Benutzer verknüpft ist. Bei Verwendung des Refresh-Tokens wird ihm ein Token für den ursprünglichen Benutzer ausgestellt.

EPSS 0.23% · 45.5th percentile

Risk Scores

EPSS Score

0.23%

45.5th percentile

Affected Products

Vendor	Product	Versions
Open Source	Open Source Keycloak
Red Hat	Red Hat Enterprise Linux

Exploit Intelligence

…and 10 more exploits

Timeline

Nov 9, 2022 CVE Published
Mar 1, 2023 CVE Updated
Sep 22, 2023 EPSS Score
Oct 24, 2023 EPSS Score
Nov 25, 2023 EPSS Score
Dec 27, 2023 EPSS Score
Jan 28, 2024 EPSS Score
Mar 1, 2024 EPSS Score
Apr 2, 2024 EPSS Score
May 4, 2024 EPSS Score
Jun 5, 2024 EPSS Score
Jul 7, 2024 EPSS Score

References

https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-2009.json advisory
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-2009 advisory
https://access.redhat.com/errata/RHSA-2023:1043 advisory
https://access.redhat.com/errata/RHSA-2023:1047 advisory
https://access.redhat.com/errata/RHSA-2023:1044 advisory
https://access.redhat.com/errata/RHSA-2023:1045 advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2141404 advisory
https://access.redhat.com/errata/RHSA-2022:8962 advisory
https://access.redhat.com/errata/RHSA-2022:8964 advisory
https://access.redhat.com/errata/RHSA-2022:8965 advisory
https://access.redhat.com/errata/RHSA-2022:8961 advisory
https://access.redhat.com/errata/RHSA-2022:8963 advisory

Open in Interactive Console →