Keycloak <= 26.3.3 代码注入 (GHSA-w2wj-hw98-233h)
medium Nessus 插件 ID 256694
语言:
简介
远程主机缺少一个或多个安全更新。描述
远程主机上安装的 Keycloak 版本低于或等于 26.3.3。因此如 GHSA-w2wj-hw98-233h 公告所述受到代码注入漏洞的影响。- 在 org.keycloak/keycloak-model-storage-service 中发现一个缺陷。KeycloakRealmImport 自定义资源替换导入的领域文档中的占位符可能引用环境变量。此替换进程允许在处理构建的领域文档时发动注入攻击。攻击者可利用此问题在领域导入过程中注入恶意内容。这可能会在 Keycloak 环境中造成意外后果。 (CVE-2025-9162)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
参见供应商公告另见
插件详情
严重性: Medium
ID: 256694
文件名: keycloak_GHSA-w2wj-hw98-233h.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/27
最近更新时间: 2025/8/27
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.1
CVSS v2
风险因素: Medium
基本分数: 6.1
矢量: CVSS2#AV:N/AC:L/Au:M/C:C/I:N/A:N
CVSS 分数来源: CVE-2025-9162
CVSS v3
风险因素: Medium
基本分数: 4.9
矢量: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
漏洞信息
CPE: cpe:/a:keycloak:keycloak
必需的 KB 项: installed_sw/Keycloak
补丁发布日期: 2025/8/21
漏洞发布日期: 2025/8/21
参考资料信息
CVE: CVE-2025-9162