深度剖析CVE-2025-14777:Keycloak授权资源管理中的IDOR漏洞

本文详细分析了Red Hat Build of Keycloak中存在的一个IDOR漏洞(CVE-2025-14777)。该漏洞源于管理员API端点授权检查与后端数据库操作之间的不一致性,允许拥有特定客户端细粒度权限的攻击者跨客户端操作资源。

CVE-2025-14777: Red Hat Build of Keycloak 中的身份验证绕过漏洞

严重性:中等 类型:漏洞

CVE 标识符

CVE-2025-14777

漏洞描述

在 Keycloak 中发现一个缺陷。在授权资源管理的管理员 API 端点中,特别是在 ResourceSetServicePermissionTicketService 中,存在一个 IDOR(失效的访问控制)漏洞。系统会根据 API 请求中提供的 resourceServer(客户端)ID 来检查授权,但后端数据库的查找和修改操作(findByIddelete)仅使用 resourceId。这种不匹配使得一个已经通过身份验证、对某个客户端(例如客户端 A)拥有细粒度管理员权限的攻击者,可以通过提供一个有效的资源 ID,在同一域(realm)内删除或更新属于另一个客户端(客户端 B)的资源。

技术详情

  • 数据版本: 5.2
  • 分配者简称: redhat
  • 发布日期: 2025-12-16T04:56:14.486Z
  • CVSS 版本: 3.1
  • 状态: 已发布

发布信息

  • 来源: CVE Database V5
  • 发布日期: 2025年12月16日星期二 (12/16/2025, 05:02:42 UTC)
  • 供应商/项目: Red Hat
  • 产品: Red Hat Build of Keycloak

威胁情报

  • 威胁 ID: 6940ec04a4f72ecfcafbad2a
  • 添加到数据库时间: 2025年12月16日,上午5:20:04
  • 最后更新时间: 2025年12月16日,上午5:20:33

社区与相关链接

  • 社区评论: 暂无。鼓励用户登录参与讨论,分享缓解策略和威胁情报上下文。
  • 相关威胁: 列出了几个同时期发布的、来自其他产品的CVE漏洞。
  • 外部链接
    • NVD 数据库
    • MITRE CVE
    • 参考链接 1
    • 参考链接 2
  • AI 分析: 需登录控制台使用 AI 分析功能。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次