虽然Keycloak帐户服务中使用了CSRF令牌,但有 CSRF token fixation vulnerability .
为防止CSRF,使用名为KEYCLOAK_STATE_CHECKER的cookie(CSRF防御方法:“Double submit cookie”) . CSRF令牌对于每个会话都必须是唯一的 . 但是,由于此cookie在登录时接受用户代理提供的值,并且在注销时不清除cookie,因此对于使用相同用户代理的用户,CSRF令牌的值在会话中是相同的 .
即使没有活动的受害者会话,攻击者也可利用此漏洞从受害者的浏览器中窃取此cookie . 然后,攻击者可以使用该值来执行CSRF攻击 . 此攻击的影响可能与攻击者接管IDP管理员并利用使用此IDP服务托管的任何应用程序一样糟糕 .
要求修复该问题here .
我的问题是:如果可以解决问题/解决问题,直到提供实际修复?
1 回答
该漏洞已在Keycloak版本3.3.0.Final中修复 . 因此,keycloak版本可以更新到最新版本,以克服此漏洞 .