虽然Keycloak帐户服务中使用了CSRF令牌,但 CSRF令牌修复漏洞。
为防止CSRF,使用名为KEYCLOAK_STATE_CHECKER的cookie(CSRF防御方法:" Double submit cookie")。 CSRF令牌对于每个会话都必须是唯一的。但是,由于此cookie在登录时接受用户代理提供的值,并且在注销时不清除cookie,因此对于使用相同用户代理的用户,CSRF令牌的值在会话中是相同的。
攻击者可以利用此漏洞从受害者的浏览器中窃取此Cookie,即使没有活动的受害者会话也是如此。然后,攻击者可以使用该值来执行CSRF攻击。此攻击的影响可能与攻击者接管IDP管理员并利用使用此IDP服务托管的任何应用程序一样糟糕。
请求修复此问题here。
我的问题是:如果可以解决问题/解决问题,直到提供实际修复?
答案 0 :(得分:1)
此漏洞已在Keycloak版本3.3.0.Final中修复。因此,keycloak版本可以更新到最新版本,以克服此漏洞。