Keycloak LDAP用户联邦组件曝Java反序列化漏洞(CVE-2025-13467)
漏洞详情
包管理器: Maven
受影响组件: org.keycloak:keycloak-ldap-federation
受影响版本: < 26.4.6
已修复版本: 26.4.6
描述
在Keycloak LDAP用户联邦提供者中发现一个缺陷。该漏洞允许经过身份验证的领域管理员通过恶意的LDAP服务器配置,触发不受信任的Java对象反序列化。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-13467
- https://access.redhat.com/security/cve/CVE-2025-13467
- https://bugzilla.redhat.com/show_bug.cgi?id=2416038
- https://access.redhat.com/errata/RHSA-2025:22088
- keycloak/keycloak#44478
- keycloak/keycloak@754c070
- https://github.com/keycloak/keycloak/releases/tag/26.4.6
漏洞信息
- 严重等级: 中危
- CVSS 3.1 总体评分: 5.5
- CVSS 3.1 基本向量: AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
- CWE类别: CWE-502 - 不受信任数据的反序列化
- CVE ID: CVE-2025-13467
- GHSA ID: GHSA-93vm-mqpw-8wh3
- 源代码仓库: keycloak/keycloak
时间线
- NVD发布日期: 2025年11月25日
- GitHub安全公告数据库发布日期: 2025年11月25日
- 评审日期: 2025年11月26日
- 最后更新日期: 2025年11月26日
基础指标详解
- 攻击向量(AV): 网络
- 攻击复杂度(AC): 低
- 所需权限(PR): 高
- 用户交互(UI): 无
- 影响范围(S): 变更
- 机密性影响(C): 低
- 完整性影响(I): 低
- 可用性影响(A): 无