检测

Keycloak < 26.3.0 钓鱼漏洞

medium Nessus 插件 ID 242321

语言:

简介

远程主机缺少一个或多个安全更新。

描述

远程主机上安装的 Keycloak 版本低于 26.3.0。因此会受到钓鱼漏洞的影响。在 Keycloak 中发现一个缺陷。如果经身份验证的攻击者在身份提供程序 (IdP) 登录期间尝试将帐户与其他现有帐户合并时系统随后会提示攻击者“查看配置文件”信息。此漏洞允许攻击者修改其电子邮件地址以匹配受害者帐户的地址从而触发发送到受害者电子邮件地址的验证电子邮件。攻击者的电子邮件地址未出现在验证电子邮件内容中,这使其成为潜在的钓鱼机会。如果受害者点击验证链接攻击者便可获得受害者帐户的访问权限。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级 Keycloak 至 26.3.0 或更高版本。

另见

https://github.com/advisories/GHSA-gj52-35xm-gxjh

插件详情

严重性: Medium

ID: 242321

文件名: keycloak_26_3_0.nasl

版本: 1.1

类型: local

代理: unix

系列: Misc.

发布时间: 2025/7/18

最近更新时间: 2025/7/18

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.7

CVSS v2

风险因素: Medium

基本分数: 5.6

矢量: CVSS2#AV:N/AC:H/Au:S/C:C/I:P/A:N

CVSS 分数来源: CVE-2025-7365

CVSS v3

风险因素: Medium

基本分数: 5.4

矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:L/A:N

漏洞信息

CPE: cpe:/a:keycloak:keycloak

必需的 KB 项: installed_sw/Keycloak

补丁发布日期: 2025/7/10

漏洞发布日期: 2025/7/10

参考资料信息

CVE: CVE-2025-7365

IAVB: 2025-B-0114