Keycloak Admin REST API权限检查漏洞详解
漏洞概述
CVE-2025-14082是一个在Keycloak Admin REST(表述性状态传递)API中发现的安全漏洞。该漏洞由于权限检查不充分,可能导致敏感角色元数据的信息泄露。
漏洞详情
受影响组件
- 软件包:
org.keycloak:keycloak-services(Maven) - 受影响版本:所有低于26.5.0的版本
- 已修复版本:26.5.0
漏洞描述
在Keycloak Admin REST API中发现了一个缺陷。该漏洞通过/admin/realms/{realm}/roles端点上的授权检查不足,允许未经充分授权的信息泄露,具体涉及敏感角色元数据。
严重程度
- 严重性等级:低
- CVSS总体评分:2.7/10
CVSS v3基础指标
- 攻击向量(AV):网络(N)
- 攻击复杂度(AC):低(L)
- 所需权限(PR):高(H)
- 用户交互(UI):无(N)
- 影响范围(S):未改变(U)
- 机密性影响(C):低(L)
- 完整性影响(I):无(N)
- 可用性影响(A):无(N)
CVSS向量字符串:CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
安全弱点分类
CWE标识
- CWE-284:不当的访问控制
弱点描述
产品未限制或错误地限制未授权参与者对资源的访问。
相关参考
官方参考链接
漏洞时间线
发布历史
- 国家漏洞数据库发布:2025年12月10日
- GitHub咨询数据库发布:2025年12月10日
- 审核日期:2025年12月10日
- 最后更新:2026年1月8日
漏洞识别信息
标识符
- CVE ID:CVE-2025-14082
- GHSA ID:GHSA-6q37-7866-h27j
源代码仓库
- 仓库:keycloak/keycloak
致谢
研究人员
- 分析师:julianladisch
风险分析
EPSS评分
- EPSS评分:0.03%(第8百分位)
- 说明:此评分估计了该漏洞在未来30天内被利用的概率
修复建议
升级方案
用户应立即将Keycloak升级到26.5.0或更高版本,以修复此安全漏洞。
临时缓解措施
在升级前,建议管理员审查和加强相关端点的访问控制策略,并监控对/admin/realms/{realm}/roles端点的访问日志。