漏洞详情
CVE编号: CVE-2025-10044
严重程度: 中等
CVSS评分: 4.3/10
受影响版本
Maven包: org.keycloak:keycloak-account-ui
- 受影响版本: < 26.2.9, >= 26.3.0且< 26.3.4
- 已修复版本: 26.2.9, 26.3.4
Maven包: org.keycloak:keycloak-admin-ui
- 受影响版本: < 26.2.9, >= 26.3.0且< 26.3.4
- 已修复版本: 26.2.9, 26.3.4
漏洞描述
Keycloak的账户控制台接受error_description查询参数中的任意文本。这些文本在错误页面中直接渲染,没有经过验证或清理。虽然HTML编码可以防止跨站脚本攻击(XSS),但攻击者可以构造包含误导性消息(例如虚假支持电话号码或URL)的URL,这些消息会在受信任的Keycloak用户界面中显示。这创建了一个钓鱼攻击向量,可能诱使用户联系恶意行为者。
技术细节
CVSS v3基础指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 范围: 未改变
- 机密性影响: 无
- 完整性影响: 低
- 可用性影响: 无
弱点类型: CWE-79 - 在网页生成过程中对输入的不当中和(跨站脚本)