Keycloak离线会话失效漏洞分析
漏洞概述
在Keycloak中发现一个缺陷:当从客户端移除offline_access范围时,离线会话仍然保持有效。刷新令牌会被接受,攻击者可以继续为该会话请求新令牌。
漏洞详情
严重程度: 中等
CVSS评分: 5.4
受影响版本
< 26.3.0
已修复版本
26.3.0
技术影响
此漏洞可能导致以下安全风险:
- 管理员移除
offline_access范围后,误认为离线会话已不可用 - 攻击者仍可利用有效的刷新令牌获取新的访问令牌
- 会话生命周期管理失效
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 低
- 完整性影响: 低
- 可用性影响: 无
弱点分类
CWE-613: 会话过期不足 根据WASC定义,当网站允许攻击者重复使用旧会话凭据或会话ID进行授权时,就会发生会话过期不足的问题。