0
虽然在Keycloak帐户服务中使用了CSRF令牌,但存在CSRF令牌固定漏洞。Keycloak帐户服务中的CSRF漏洞
为防止CSRF,使用名为KEYCLOAK_STATE_CHECKER的cookie(CSRF防御方法:“双提交cookie”)。对于每个会话,CSRF令牌都必须是唯一的。但是,由于此cookie在登录时接受用户代理提供的值,并且在注销时不清除cookie,因此对于使用相同用户代理的用户,CSRF令牌的值在会话中相同。
即使没有活动的受害者会话,攻击者也可以利用此漏洞从受害者的浏览器中窃取此Cookie。然后,该值可以被攻击者用来执行CSRF攻击。此攻击的影响可能与攻击者接管IDP的管理员并利用使用此IDP服务托管的任何应用程序一样糟糕。
需要修复该问题here。
我的问题是:如果可以有解决方案/解决问题的方法,直到提供实际解决方案?