遠端主機上安裝的 Keycloak 版本低於 26.4.4，因此受到一個連接埠暴露弱點影響

  - Keycloak 的伺服器發行版本中存在一個弱點其中啟用偵錯模式 (--debug) 會不安全地預設為將 Java Debug Wire Protocol (JDWP) 連接埠系結至所有網路介面 (0.0.0.0)。這會將除錯連接埠暴露給本機網路進而允許相同網路區段上的攻擊者附加遠端除錯程式並在 Keycloak Java 虛擬機器內執行遠端程式碼。 (CVE-2025-11538)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Keycloak < 26.4.4 偵錯模式 JDWP 連接埠曝險 (CVE-2025-11538)

medium Nessus Plugin ID 297528

版本 1.2

版本 1.1

版本 1.2 Feb 3, 2026, 2:33 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:U/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:U/RL:O/RC:C") Exploit attributes ("Exploit available" set to "False") Exploit attributes ("Exploitability ease" set to "No known exploits are available") Plugin Feed: 202602031433
版本 1.1 Feb 2, 2026, 1:44 PM New Plugin Feed: 202602021344