CVE-2023-2585 — Vulnetix

CVE-2023-2585 PUBLISHED

Es besteht eine Schwachstelle in Keycloak und Red Hat Single Sign On. Beim "Device Authorization Grant" fehlt eine ordnungsgemäße Validierung der Eingaben "Device Code" und "Client ID". Ein Angreifer kann dies ausnutzen, um einen Administrator dazu zu bringen, einem bösartigen OAuth-Client die Zustimmung oder einen nicht autorisierten Zugriff zu gewähren. Ein erfolgreiches Ausnutzen erfordert eine Benutzerinteraktion.

EPSS 0.11% · 29.4th percentile

Risk Scores

EPSS Score

0.11%

29.4th percentile

Affected Products

Vendor	Product	Versions
Red Hat	Red Hat Single Sign On 7
Red Hat	Red Hat Enterprise Linux
Open Source	Open Source Keycloak

Exploit Intelligence

CIRCL seen: CVE-2023-2585 (circl-sighting)
CIRCL seen: CVE-2023-2585 (circl-sighting)
RHSA-2023:3883 (circl)
RHSA-2023:3884 (circl)
RHSA-2023:3885 (circl)
RHSA-2023:3888 (circl)
RHSA-2023:3892 (circl)
https://access.redhat.com/security/cve/CVE-2023-2585 (circl)
RHBZ#2196335 (circl)

Timeline

Jun 26, 2023 CVE Published
Jun 27, 2023 CVE Updated
Dec 21, 2023 PoC Published
Dec 22, 2023 EPSS Score
Dec 23, 2023 PoC Published
Jan 20, 2024 EPSS Score
Feb 18, 2024 EPSS Score
Mar 18, 2024 EPSS Score
Apr 16, 2024 EPSS Score
May 15, 2024 EPSS Score
Jun 13, 2024 EPSS Score
Jul 12, 2024 EPSS Score

References

Open in Interactive Console →