In der Open-Source-Identitäts- und Zugriffsmanagement-Software Keycloak wurden im April 2024 mehrere schwerwiegende Sicherheitsmängel aufgedeckt. Diese betreffen insbesondere die Umleitungsfunktion (Redirect) bei Authentifizierungsanfragen.
Die erste Lücke, identifiziert als CVE-2024-1132, wurde von Axel Flamcourt gemeldet und betrifft die Path Transversal in der Umleitungsvalidierung. Angreifer könnten diese Schwachstelle nutzen, um die Validierung zu umgehen und Zugang zu potenziell sensiblen Informationen innerhalb der Domain zu erhalten oder weitere Angriffe zu initiieren. Betroffen sind alle Keycloak-Clients, die im Feld „Valid Redirect URIs“ ein Wildcard verwenden. Die Schwachstelle wurde mit einem hohen Schweregrad eingestuft und betrifft Versionen vor 22.0.10 und 24.0.3. Die gepatchten Versionen 22.0.10 und 24.0.3 stehen zum Update bereit.
Eine zweite Sicherheitslücke, CVE-2024-2419, bezieht sich auf die Validierungslogik von redirect_uri
, die das Umgehen von eigentlich explizit erlaubten Hosts ermöglicht. Auch hier wird ein hoher Schweregrad berichtet.
Die dritte und ebenfalls als hoch eingestufte Schwachstelle, CVE-2024-1249, wurde von Adriano Márcio Monteiro von BRZTEC identifiziert. Sie befindet sich in der „checkLoginIframe“-Funktion, die ungeprüfte, Cross-Origin-Nachrichten zulässt, was potenziell zu DDoS-Angriffen führen könnte. Angreifer könnten diese Sicherheitslücke ausnutzen, um Millionen von Anfragen in Sekunden zu senden und die Verfügbarkeit der Anwendung signifikant zu beeinträchtigen.
Keycloak-Nutzer werden dringend aufgefordert, ihre Systeme umgehend auf die neuesten Versionen 22.0.10 oder 24.0.3 zu aktualisieren, um sich vor diesen Sicherheitsrisiken zu schützen. Die Berichte unterstreichen die Wichtigkeit einer sorgfältigen Überprüfung von Umleitungsprozessen und der Validierung von Cross-Origin-Nachrichten in Webanwendungen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: