Keycloak 在禁用"记住我"功能时不会使会话失效 · CVE-2025-11429
漏洞详情
包名: maven - org.keycloak:keycloak-services (Maven)
受影响版本: < 26.4.1
已修复版本: 26.4.1
漏洞描述
在 Keycloak 中发现一个缺陷。当管理员禁用"记住我"领域设置时,Keycloak 不会立即对现有用户会话强制执行此更改。在"记住我"功能处于活动状态时创建的会话会保留其延长的会话生命周期,直到它们过期为止,这覆盖了管理员最近的安全配置更改。
这是一个会话管理中的逻辑缺陷,增加了会话劫持或未经授权的长期访问持久化的潜在时间窗口。该缺陷在于会话过期逻辑依赖于会话本地的"记住我"标志,而没有验证当前领域级别的配置。
严重程度
中等严重程度 - CVSS 评分:5.4
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 无
- 范围: 未改变
- 机密性: 低
- 完整性: 低
- 可用性: 无
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
弱点分类
弱点: CWE-613 - 会话过期不足
根据 WASC 的定义,会话过期不足是指网站允许攻击者重复使用旧的会话凭据或会话 ID 进行授权。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-11429
- https://access.redhat.com/security/cve/CVE-2025-11429
- https://bugzilla.redhat.com/show_bug.cgi?id=2402148
- keycloak/keycloak#43328
- keycloak/keycloak@a340941
- keycloak/keycloak@bda0e2a
标识符
- CVE ID: CVE-2025-11429
- GHSA ID: GHSA-64w3-5q9m-68xf
源代码: keycloak/keycloak