Keycloak允许绑定到无限制IP地址 · CVE-2025-11538
漏洞详情
包信息
- 包管理器: Maven
- 受影响包:
org.keycloak:keycloak-quarkus-server
版本影响
- 受影响版本: ≤ 26.4.4
- 已修复版本: 无
漏洞描述
Keycloak服务器分发版本中存在一个安全漏洞,当启用调试模式(--debug)时,会不安全地默认将Java调试线协议(JDWP)端口绑定到所有网络接口(0.0.0.0)。这将调试端口暴露给本地网络,允许同一网络段内的攻击者附加远程调试器,并在Keycloak Java虚拟机内实现远程代码执行。
严重程度
- 严重等级: 中等
- CVSS总体评分: 6.8/10
CVSS v3基础指标
- 攻击向量: 相邻网络
- 攻击复杂度: 高
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 无
CVSS向量:CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
弱点分类
- 弱点类型: CWE-1327
- 弱点描述: 绑定到无限制IP地址
- 详细说明: 产品为数据库服务器、云服务/实例或任何远程通信的计算资源分配地址0.0.0.0
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-11538
- https://access.redhat.com/security/cve/CVE-2025-11538
- https://bugzilla.redhat.com/show_bug.cgi?id=2402622
- https://access.redhat.com/errata/RHSA-2025:21370
- https://access.redhat.com/errata/RHSA-2025:21371
标识符
- CVE ID: CVE-2025-11538
- GHSA ID: GHSA-7m9g-pmxf-m9m8
源代码
- keycloak/keycloak