Terdapat temuan kerentanan dengan deskripsi “users can be impersonated” jika semacam UUID diketahui oleh penyerang. Kerentanan ini memungkinkan pengguna dalam alur masuk Keycloack terjadi kesalahan validasi dengan menyamar sebagai pengguna lain yang ada dalam ranah Keycloak yang sama. Autentikasi pengguna Keycloak's OpenID Connect ditemukan salah dalam melakukan autentikasi. Penyerang terotentikasi yang juga dapat memperoleh informasi tertentu dari permintaan pengguna, dari korban dalam wilayah yang sama, dapat menggunakan data tersebut untuk meniru identitas korban dan menghasilkan token sesi baru.
info lebih lanjut Unduh Imbauan Keamanan Kerentanan User Impersonation pada Keycloack
Sumber : Direktorat Operasi Keamanan Siber – BSSN
Sumber : Direktorat Operasi Keamanan Siber – BSSN