开源身份和访问管理平台 Keycloak 发布了一个安全更新，以解决一个可能允许低权限用户未经授权访问管理功能的高严重性漏洞。

该漏洞由安全研究员 Maurizio Agazzini 发现，被追踪为 CVE-2024-3656，CVSS 得分为 8.1。它影响到 24.0.5 之前的所有 Keycloak 版本。

该漏洞存在于 Keycloak 管理 REST API 的某些端点中。通过利用这些端点，拥有低级用户账户的恶意行为者有可能执行命令并访问通常为管理员保留的敏感信息。这可能导致一系列严重的安全漏洞，包括

数据泄露： 未经授权访问敏感的用户数据、系统配置和应用程序机密。系统受损：修改系统设置，可能会中断服务或让攻击者进一步控制基础设施。权限升级： 提升用户权限以完全控制 Keycloak 服务器和连接的应用程序。

Keycloak 已在 24.0.5 版本中解决了此漏洞。强烈建议所有用户立即将其部署更新到最新版本。

Ezoic
您能做些什么？

更新 Keycloak： 如果您运行的 Keycloak 版本早于 24.0.5，请尽快升级到已修补的版本。查看 API 活动： 监控 Keycloak 日志，查看是否有可疑的 API 请求，尤其是来自低权限账户的请求。实施最低权限： 确保用户只拥有其角色所需的必要权限。保持信息畅通： 随时了解 Keycloak 的最新安全公告和补丁。

通过迅速采取行动，企业可以降低 CVE-2024-3656 带来的风险，并保护其关键系统和数据。