CVE-2022-3916 — Vulnetix

Try Vulnetix Request Demo

CVE-2022-3916 PUBLISHED

Es existiert eine Schwachstelle in Keycloak. Der Fehler besteht im Bereich offline_access, bei der gemeinsamen Nutzung von Computern durch mehrere User. Die Validierung von Root-Sitzungen fehlt und Sitzungskennungen zwischen Root- und Benutzer-Authentifizierungssitzungen werden wiederverwendet. Ein Angreifer kann diese Schwachstelle ausnutzen, um eine Benutzersitzung aufzulösen, die mit einem zuvor authentifizierten Benutzer verknüpft ist. Bei Verwendung des Refresh-Tokens wird ihm ein Token für den ursprünglichen Benutzer ausgestellt.

EPSS 0.23% · 45.2th percentile

Risk Scores

EPSS Score

0.23%

45.2th percentile

Affected Products

Vendor	Product	Versions
Open Source	Open Source Keycloak
Red Hat	Red Hat Enterprise Linux

Timeline

Nov 9, 2022 CVE Published
Mar 1, 2023 CVE Updated
Sep 22, 2023 EPSS Score
Oct 24, 2023 EPSS Score
Nov 24, 2023 EPSS Score
Dec 26, 2023 EPSS Score
Jan 26, 2024 EPSS Score
Feb 27, 2024 EPSS Score
Mar 29, 2024 EPSS Score
Apr 30, 2024 EPSS Score
May 31, 2024 EPSS Score
Jul 2, 2024 EPSS Score

References

https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-2009.json advisory
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-2009 advisory
https://access.redhat.com/errata/RHSA-2023:1043 advisory
https://access.redhat.com/errata/RHSA-2023:1047 advisory
https://access.redhat.com/errata/RHSA-2023:1044 advisory
https://access.redhat.com/errata/RHSA-2023:1045 advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2141404 advisory
https://access.redhat.com/errata/RHSA-2022:8962 advisory
https://access.redhat.com/errata/RHSA-2022:8964 advisory
https://access.redhat.com/errata/RHSA-2022:8965 advisory
https://access.redhat.com/errata/RHSA-2022:8961 advisory
https://access.redhat.com/errata/RHSA-2022:8963 advisory

Open in Interactive Console →