中危 Improper Enforcement of a Single, Unique Action (CVE-2024-4629)

CVE编号

CVE-2024-4629

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-09-03
漏洞描述
A vulnerability was found in Keycloak. This flaw allows attackers to bypass brute force protection by exploiting the timing of login attempts. By initiating multiple login requests simultaneously, attackers can exceed the configured limits for failed attempts before the system locks them out. This timing loophole enables attackers to make more guesses at passwords than intended, potentially compromising account security on affected systems.
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 redhat build_of_keycloak * From
(including)
22.0
Up to
(excluding)
22.012
运行在以下环境
应用 redhat keycloak * Up to
(excluding)
24.0.3
运行在以下环境
应用 redhat openshift_container_platform 4.11 -
运行在以下环境
应用 redhat openshift_container_platform 4.12 -
运行在以下环境
应用 redhat openshift_container_platform_for_linuxone 4.10 -
运行在以下环境
应用 redhat openshift_container_platform_for_linuxone 4.9 -
运行在以下环境
应用 redhat openshift_container_platform_for_power 4.10 -
运行在以下环境
应用 redhat openshift_container_platform_for_power 4.9 -
运行在以下环境
应用 redhat openshift_container_platform_ibm_z_systems 4.10 -
运行在以下环境
应用 redhat openshift_container_platform_ibm_z_systems 4.9 -
运行在以下环境
应用 redhat single_sign-on * From
(including)
7.6
Up to
(excluding)
7.6.10
运行在以下环境
应用 redhat single_sign-on - -
阿里云评分
6.1
  • 攻击路径
    本地
  • 攻击复杂度
    困难
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-837 对单一独特动作的实施不恰当
阿里云安全产品覆盖情况