Keycloak < 26.2.9 多個弱點 (GHSA-wc64-wmfm-46vw)(GHSA-xmcw-mv9p-7pq2)
medium Nessus Plugin ID 265769
語言:
概要
遠端主機缺少一個或多個安全性更新。說明
遠端主機上安裝的 Keycloak 版本低於 26.2.9,因此受到 GHSA-wc64-wmfm-46vw 和 GHSA-xmcw-mv9p-7pq2 公告中多個弱點影響。- 在 Windows 上處理 Keycloak 的庫金鑰時存在一個路徑遊走驗證瑕疵。 CVE-2024-10492 的先前修正未考慮 Windows 檔案分隔符號 (\)。因此高權限的系統管理員可透過特製的 vault secret 查閱在預期領域內容之外探查是否存在檔案。這是 CVE-2024-10492的平台特定變體/不完整修正。 (CVE-2025-10043)
- 在 Keycloak 中發現一個瑕疵。Keycloak 的帳戶主控台和其他頁面接受 error_description 查詢參數中的任意文字。此文字會直接在錯誤頁面中轉譯而不進行驗證或清理。HTML 編碼可防止 XSS 時攻擊者可特製含有誤導訊息的 URL (例如假的支援電話號碼或 URL)這些訊息會顯示在受信任的 Keycloak UI 內。這會建立網路釣魚向量可能誘騙使用者聯絡惡意執行者。 (CVE-2025-10044)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
請參閱廠商公告另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 265769
檔案名稱: keycloak_26_2_9.nasl
版本: 1.2
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/9/24
已更新: 2025/9/26
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2025-10044
CVSS v3
風險因素: Medium
基本分數: 4.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
弱點資訊
CPE: cpe:/a:keycloak:keycloak
必要的 KB 項目: installed_sw/Keycloak
修補程式發佈日期: 2025/9/5
弱點發布日期: 2025/9/5
參考資訊
CVE: CVE-2025-10043, CVE-2025-10044
IAVB: 2025-B-0156