概要
Keycloak は オープンソース の ID およびアクセス管理(IAM)ソフトウェア です。無効化 された Identity Provider(IdP)を 経由 した 認証 が 依然 として 受け入れられる 脆弱性(CWE-863: Incorrect Authorization)が 存在 します。
管理者 が IdP を 無効化 した にもかかわらず、攻撃者 が その IdP を 利用 した 認証 フロー を 実行 する こと で、本来 アクセス が 拒否 される べき システム に ログイン できる 恐れ が あります。Keycloak を 運用 して いる 環境 で は、速やか な アップデート が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.1 |
| 深刻度 | High |
| CWE | CWE-863 (不正 な 認可) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響 バージョン |
|---|---|---|
| Keycloak | Red Hat | 影響 バージョン は アドバイザリ を 参照 |
修正 バージョン と 回避策
- 修正バージョン: ベンダー の セキュリティ アドバイザリ を 確認
- 回避策: 無効化 した IdP の 設定 を 完全 に 削除 する
関連 リンク
データソース: NVD (NIST) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。