1.8. CVE

在这个发行版本中，以下 CVE 被解决：

在启用了 mTLS 的情况下，使用没有通过传递终止的 TLS 的带有反向代理的 Keycloak 的 CVE-2024-10039 部署会受到影响
CVE-2024-8883 Vulnerable 重定向 URI 验证结果为 Open Redirect
CVE-2024-8698 Improper 验证 SAML 响应会导致 Red Hat Single Sign-On 中的权限升级
elytron SAML 适配器中的 CVE-2024-7341 会话修复，以更好地保护可能的 Cookie hijack。
CVE-2024-5967 通过管理控制台了解配置的 LDAP 绑定凭据。可以通过适当的权限将 hostURL 更改为攻击者的机器。
CVE-2024-4629，攻击者可以并行启动多次登录尝试来绕过暴力保护。
CVE-2024-4540，一个重要的安全问题，会影响某些 OIDC 机密客户端，使用 PAR (Pushed 授权请求)。如果您将 OIDC 机密客户端与 PAR 一起使用，且您基于在 HTTP 请求正文中的参数发送 client_id 和 client_secret （在 OIDC 规格中指定的method client_secret_post ）使用客户端验证，则强烈建议您在升级到此版本后轮转客户端的客户端 secret。