漏洞信息
# Keycloak:反射型xss攻击
## 漏洞概述
在 Keycloak 的 `oob` OAuth 端点中发现了一个由于不正确处理空字节而导致的反射型跨站脚本(XSS)漏洞。攻击者可以通过恶意链接将任意 URI 注入到 Keycloak 错误页面中,进而可能导致用户数据泄露或更改。
## 影响版本
未指定具体版本。
## 漏洞细节
该漏洞源于 `oob` OAuth 端点中的不正确空字节处理,攻击者可以利用该漏洞在 Keycloak 错误页面中插入任意 URI。需要用户或管理员与恶意链接进行交互才可触发此漏洞。
## 影响
攻击者可以利用该漏洞收集或更改用户的敏感信息。
神龙判断
是否为 Web 类漏洞:
未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Keycloak: reflected xss attack
漏洞描述信息
A reflected cross-site scripting (XSS) vulnerability was found in the 'oob' OAuth endpoint due to incorrect null-byte handling. This issue allows a malicious link to insert an arbitrary URI into a Keycloak error page. This flaw requires a user or administrator to interact with a link in order to be vulnerable. This may compromise user details, allowing it to be changed or collected by an attacker.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
漏洞类别
错误消息Web页面中脚本转义处理不恰当
漏洞标题
Red Hat Keycloak 跨站脚本漏洞
漏洞描述信息
Red Hat Keycloak是美国红帽(Red Hat)公司的一套为现代应用和服务提供身份验证和管理功能的软件。 Red Hat Keycloak 存在安全漏洞,该漏洞源于不正确的空字节处理,存在反射型跨站脚本(XSS)漏洞。
CVSS信息
N/A
漏洞类别
跨站脚本