Keycloak会话标识符重用漏洞导致会话劫持风险分析

本文详细分析Keycloak身份认证系统中存在的会话标识符重用漏洞(CVE-2025-12390)，该漏洞由于会话标识符重用和登出时清理不彻底导致，可能造成用户会话被劫持，影响系统安全性。

Keycloak vulnerable to session takeovers due to reuse of session identifiers

漏洞详情

包名称: maven - org.keycloak:keycloak-services (Maven)

受影响版本: < 26.0.0

已修复版本: 26.0.0

漏洞描述

在Keycloak中发现一个缺陷。当两个用户使用相同的设备和浏览器时，用户可能会意外获得另一个用户的会话访问权限。这是因为Keycloak有时会重用会话标识符，并且在浏览器cookie缺失的情况下登出时未能正确清理。结果可能导致一个用户收到属于另一个用户的令牌。

参考资料

https://nvd.nist.gov/vuln/detail/CVE-2025-12390
https://access.redhat.com/security/cve/CVE-2025-12390
https://bugzilla.redhat.com/show_bug.cgi?id=2406793
keycloak/keycloak#32197
keycloak/keycloak@5344aad
keycloak/keycloak@b46fab2
keycloak/keycloak@d82438a
keycloak/keycloak@ef75a4d
keycloak/keycloak#31265

漏洞严重程度

中等严重程度 - CVSS评分：6.0/10

CVSS v3 基础指标

攻击向量: 本地
攻击复杂度: 高
所需权限: 低
用户交互: 需要
范围: 未改变
机密性影响: 高
完整性影响: 高
可用性影响: 无

CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N

弱点分类

弱点: CWE-384 - 会话固定

认证用户或建立新用户会话时，未使现有会话标识符失效，这给攻击者提供了窃取已认证会话的机会。

标识符

CVE ID: CVE-2025-12390
GHSA ID: GHSA-rg35-5v25-mqvp

源代码

keycloak/keycloak

致谢

分析师: levpachmanov

comments powered by Disqus