CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2020-1723
https://notcve.org/view.php?id=CVE-2020-1723
28 Jan 2021 — A flaw was found in Keycloak Gatekeeper (Louketo). The logout endpoint can be abused to redirect logged-in users to arbitrary web pages. Affected versions of Keycloak Gatekeeper (Louketo): 6.0.1, 7.0.0 Se ha encontrado un fallo en Keycloak Gatekeeper (Louketo). El punto final de cierre de sesión puede ser abusado para redireccionar a los usuarios conectados a páginas web arbitrarias. Versiones afectadas de Keycloak Gatekeeper (Louketo): 6.0.1, 7.0.0 • https://bugzilla.redhat.com/show_bug.cgi?id=1770276 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-12161
https://notcve.org/view.php?id=CVE-2017-12161
21 Feb 2018 — It was found that keycloak before 3.4.2 final would permit misuse of a client-side /etc/hosts entry to spoof a URL in a password reset request. An attacker could use this flaw to craft a malicious password reset request and gain a valid reset token, leading to information disclosure or further attacks. Se ha descubierto que keycloak, en versiones anteriores a la 3.4.2 final, permitiría el mal uso de una entrada /etc/hosts del lado del cliente para suplantar una URL en una petición de restablecimiento de con... • https://bugzilla.redhat.com/show_bug.cgi?id=1484564 • CWE-602: Client-Side Enforcement of Server-Side Security CWE-640: Weak Password Recovery Mechanism for Forgotten Password •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-15111 – keycloak-httpd-client-install: unsafe /tmp log file in --log-file option in keycloak_cli.py
https://notcve.org/view.php?id=CVE-2017-15111
20 Jan 2018 — keycloak-httpd-client-install versions before 0.8 insecurely creates temporary file allowing local attackers to overwrite other files via symbolic link. keycloak-httpd-client-install, en versiones anteriores a la 0.8, crea archivos temporales de forma insegura, lo que permite que atacantes locales sobrescriban otros archivos mediante un enlace simbólico. It was discovered that keycloak-httpd-client-install uses a predictable log file name in /tmp. A local attacker could create a symbolic link to a sensitive... • https://access.redhat.com/errata/RHSA-2019:2137 • CWE-59: Improper Link Resolution Before File Access ('Link Following') CWE-377: Insecure Temporary File •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-15112 – keycloak-httpd-client-install: unsafe use of -p/--admin-password on command line
https://notcve.org/view.php?id=CVE-2017-15112
20 Jan 2018 — keycloak-httpd-client-install versions before 0.8 allow users to insecurely pass password through command line, leaking it via command history and process info to other local users. keycloak-httpd-client-install, en versiones anteriores a la 0.8, permite que los usuarios pasen la contraseña de forma no segura a través de la línea de comandos, filtrándola mediante el historial de comandos y procesen la información a otros usuarios locales. In keycloak-http-client-install prior to version 0.8, the admin passw... • https://access.redhat.com/errata/RHSA-2019:2137 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-3651
https://notcve.org/view.php?id=CVE-2014-3651
29 Dec 2017 — JBoss KeyCloak before 1.0.3.Final allows remote attackers to cause a denial of service (resource consumption) via a large value in the size parameter to auth/qrcode, related to QR code generation. JBoss KeyCloak en versiones anteriores a la 1.0.3.Final permite que atacantes remotos provoquen una denegación de servicio (consumo de recursos) mediante un valor grande en el parámetro size en auth/qrcode. Esto está relacionado con la generación de códigos QR. • https://bugzilla.redhat.com/show_bug.cgi?id=1144278 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2014-3709
https://notcve.org/view.php?id=CVE-2014-3709
18 Oct 2017 — The org.keycloak.services.resources.SocialResource.callback method in JBoss KeyCloak before 1.0.3.Final allows remote attackers to conduct cross-site request forgery (CSRF) attacks by leveraging lack of CSRF protection. El método org.keycloak.services.resources.SocialResource.callback en JBoss KeyCloak en versiones anteriores a la 1.0.3.Final permite que atacantes remotos lleven a cabo ataques de Cross-Site Request Forgery (CSRF) aprovechando la falta de protección CSRF. • http://www.securityfocus.com/bid/101508 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 5EXPL: 0CVE-2017-12158 – keycloak: reflected XSS using HOST header
https://notcve.org/view.php?id=CVE-2017-12158
17 Oct 2017 — It was found that Keycloak would accept a HOST header URL in the admin console and use it to determine web resource locations. An attacker could use this flaw against an authenticated user to attain reflected XSS via a malicious server. Se ha descubierto que Keycloak podría aceptar una URL de cabecera HOST en la consola de administración y emplearla para determinar localizaciones de recursos web. Un atacante podría usar este fallo contra un usuario autenticado para lograr un XSS reflejado mediante un servid... • http://www.securityfocus.com/bid/101618 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') •
CVSS: 7.5EPSS: 1%CPEs: 5EXPL: 0CVE-2017-12159 – keycloak: CSRF token fixation
https://notcve.org/view.php?id=CVE-2017-12159
17 Oct 2017 — It was found that the cookie used for CSRF prevention in Keycloak was not unique to each session. An attacker could use this flaw to gain access to an authenticated user session, leading to possible information disclosure or further attacks. Se ha descubierto que la cookie empleada para la prevención de CSRF en Keycloak no era única para cada sesión. Un atacante podría usar este fallo para obtener acceso a una sesión de un usuario autenticado, conduciendo a una posible divulgación de información o a más ata... • http://www.securityfocus.com/bid/101601 • CWE-613: Insufficient Session Expiration •
CVSS: 9.8EPSS: 0%CPEs: 11EXPL: 0CVE-2017-7474 – keycloak-connect: auth token validity check ignored
https://notcve.org/view.php?id=CVE-2017-7474
08 May 2017 — It was found that the Keycloak Node.js adapter 2.5 - 3.0 did not handle invalid tokens correctly. An attacker could use this flaw to bypass authentication and gain access to restricted information, or to possibly conduct further attacks. Se encontró que el adaptador de Keycloak Node.js 2.5 - 3.0 no controló correctamente los símbolos no válidos. Un atacante podría utilizar esta falla para omitir la autenticación y obtener acceso a información restringida, o posiblemente llevar a cabo otros ataques. It was f... • http://rhn.redhat.com/errata/RHSA-2017-1203.html • CWE-253: Incorrect Check of Function Return Value •