NVD Vulnerability Detail

CVE-2019-14837

Summary	A flaw was found in keycloack before version 8.0.0. The owner of 'placeholder.org' domain can setup mail server on this domain and knowing only name of a client can reset password and then log in. For example, for client name 'test' the email address will be 'service-account-test@placeholder.org'.
Publication Date	Jan. 8, 2020, 2:15 a.m.
Registration Date	Jan. 26, 2021, 11:39 a.m.
Last Update	Nov. 21, 2024, 1:27 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:redhat:keycloak::::::::					8.0.0

Configuration2		or higher	or less	more than	less than
cpe:2.3:a:redhat:single_sign-on:7.3:::::::*

Related information, measures and tools

No	URL	タグ
1	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14837	Exploit Issue Tracking Vendor Advisory
2	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14837	Exploit Issue Tracking Vendor Advisory
3	https://github.com/keycloak/keycloak/commit/9a7c1a91a59ab85e7f8889a505be04a71580777f	Patch Third Party Advisory
4	https://github.com/keycloak/keycloak/commit/9a7c1a91a59ab85e7f8889a505be04a71580777f	Patch Third Party Advisory
5	https://issues.jboss.org/browse/KEYCLOAK-10780	Issue Tracking Permissions Required Vendor Advisory
6	https://issues.jboss.org/browse/KEYCLOAK-10780	Issue Tracking Permissions Required Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-798	ハードコードされた認証情報の使用	https://cwe.mitre.org/data/definitions/798.html

JVN Vulnerability Information

keycloack におけるハードコードされた認証情報の使用に関する脆弱性

Title	keycloack におけるハードコードされた認証情報の使用に関する脆弱性
Summary	keycloack には、ハードコードされた認証情報の使用に関する脆弱性が存在します。
Possible impacts	情報を取得される、および情報を改ざんされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	July 16, 2019, midnight
Registration Date	Jan. 31, 2020, 3:40 p.m.
Last Update	Jan. 31, 2020, 3:40 p.m.

Affected System

レッドハット

Keycloak 8.0.0 未満

Single Sign-On

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-14837	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14837
National Vulnerability Database (NVD)
2	CVE-2019-14837	https://nvd.nist.gov/vuln/detail/CVE-2019-14837

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-798	https://cwe.mitre.org/data/definitions/798.html

ベンダー情報

No	Name	URL
GitHub
1	KEYCLOAK-10780 Stop creating placeholder e-mails for service accounts (#228)	https://github.com/keycloak/keycloak/commit/9a7c1a91a59ab85e7f8889a505be04a71580777f
Red Hat Bugzilla
2	Bug 1752980	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14837

Change Log

No	Changed Details	Date of change
1	[2020年01月31日] 掲載	Jan. 31, 2020, 3:40 p.m.