CVE-2025-13467:Keycloak LDAP用户联邦供应商存在管理员可触发的Java反序列化漏洞
漏洞详情
包
Maven: org.keycloak:keycloak-ldap-federation
受影响版本
版本 < 26.4.6
已修复版本
26.4.6
描述
在Keycloak LDAP用户联邦供应商中发现一个缺陷。此漏洞允许经过身份验证的域管理员通过恶意LDAP服务器配置触发不受信任Java对象的反序列化。
缓解措施
如果项目无法升级到已修复版本,请在所有领域的所有LDAP用户提供程序中禁用LDAP转介(LDAP referrals)。
参考链接
- GHSA-4hx9-48xh-5mxr
- https://nvd.nist.gov/vuln/detail/CVE-2025-13467
- keycloak/keycloak#44478
- keycloak/keycloak@754c070
- https://access.redhat.com/errata/RHSA-2025:22088
- https://access.redhat.com/security/cve/CVE-2025-13467
- https://bugzilla.redhat.com/show_bug.cgi?id=2416038
- https://github.com/keycloak/keycloak/releases/tag/26.4.6
严重程度
中等
CVSS总分
5.5 / 10
CVSS v3 基本指标
- 攻击向量(AV): 网络(N)
- 攻击复杂性(AC): 低(L)
- 所需权限(PR): 高(H)
- 用户交互(UI): 无(N)
- 范围(S): 已更改(C)
- 机密性影响(C): 低(L)
- 完整性影响(I): 低(L)
- 可用性影响(A): 无(N)
CVSS向量字符串: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
EPSS分数
0.022%(第五百分位数) - 此分数估计该漏洞在未来30天内被利用的概率。
弱点
CWE-502: 反序列化不受信任的数据 - 产品在未充分确保生成数据有效性的情况下反序列化不受信任的数据。
标识符
- CVE ID: CVE-2025-13467
- GHSA ID: GHSA-4hx9-48xh-5mxr
源代码
仓库: keycloak/keycloak