Bien qu'il existe un jeton CSRF utilisé dans le service Compte Keycloak, il existe une vulnérabilité de fixation de jeton CSRF.Vulnérabilité CSRF dans le service de compte Keycloak
Pour éviter le CSRF, un cookie nommé KEYCLOAK_STATE_CHECKER est utilisé (méthode de défense CSRF: "Double submit cookie"). Le jeton CSRF doit être unique pour chaque session. Mais, comme ce cookie accepte la valeur fournie par l'agent utilisateur lors de la connexion et n'efface pas le cookie lors de la déconnexion, la valeur du jeton CSRF est la même pour toutes les sessions, pour les utilisateurs utilisant le même agent utilisateur.
Cette vulnérabilité pourrait être exploitée par un attaquant afin de voler ce cookie depuis le navigateur de la victime, même s'il n'y a pas de session victime active. Et puis, la valeur peut être utilisée par l'attaquant pour effectuer l'attaque CSRF. L'impact de cette attaque peut être aussi mauvais qu'un attaquant prenant le relais en tant qu'administrateur de l'IDP et exploitant toute application hébergée utilisant ce service IDP.
Un correctif pour le problème est demandé here.
Ma question est: s'il peut y avoir une solution/solution au problème, jusqu'à ce qu'une solution réelle soit fournie?