N/A

Keycloak up to version 6.0.0 allows the end user token (access or id token JWT) to be used as the session cookie for browser sessions for OIDC. As a result an attacker with access to service provider backend could hijack user’s browser session.

N/A

信息暴露

Red Hat Keycloak 信息泄露漏洞

Red Hat Keycloak是美国红帽（Red Hat）公司的一套为现代应用和服务提供身份验证和管理功能的软件。 Red Hat Keycloak 6.0及之前版本中存在信息泄露漏洞。攻击者可利用该漏洞劫持用户浏览器会话。

N/A

N/A