Keycloak 26.x < 26.0.10/26.1.x < 26.1.3/26.2.0 不当授权
medium Nessus 插件 ID 216477
语言:
简介
远程主机缺少一个或多个安全更新。描述
远程主机上安装的 Keycloak 版本为低于 26.0.10 的 26.0,低于 26.1.3 的 26.1 或低于 26.2.0 的版本。因此,该软件受到不当授权漏洞的影响。在 Keycloak 组织功能中发现一个缺陷,如果用户的用户名或电子邮件匹配组织的域模式,则系统会将组织错误地分配给用户。此问题发生在映射器级别,会导致标记中出现错误表示。如果应用程序依赖这些授权声明,则可能错误地假设用户属于他们并不属于的组织,从而可能授予未经授权的访问或权限。请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Keycloak 26.0.10、26.1.3、26.2.0 或更高版本。另见
https://github.com/keycloak/keycloak/issues/37169
https://github.com/keycloak/keycloak/pull/37235/files
插件详情
严重性: Medium
ID: 216477
文件名: keycloak_26_2_0.nasl
版本: 1.4
类型: local
代理: unix
系列: Misc.
发布时间: 2025/2/19
最近更新时间: 2025/2/21
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 2.5
CVSS v2
风险因素: Medium
基本分数: 5.5
时间分数: 4.1
矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N
CVSS 分数来源: CVE-2025-1391
CVSS v3
风险因素: Medium
基本分数: 5.4
时间分数: 4.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:keycloak:keycloak
必需的 KB 项: Host/local_checks_enabled, Host/uname, installed_sw/Keycloak
易利用性: No known exploits are available
补丁发布日期: 2025/2/17
漏洞发布日期: 2025/2/17
参考资料信息
CVE: CVE-2025-1391
CWE: 284
IAVB: 2025-B-0027