Keycloak会话标识符重用漏洞导致会话劫持风险分析
Keycloak vulnerable to session takeovers due to reuse of session identifiers
漏洞详情
包名: maven - org.keycloak:keycloak-services (Maven)
受影响版本: < 26.0.0
已修复版本: 26.0.0
漏洞描述
在Keycloak中发现一个缺陷。当多个用户使用相同的设备和浏览器时,用户可能意外获取另一个用户的会话访问权限。这种情况发生的原因是Keycloak有时会重用会话标识符,并且在浏览器Cookie缺失时登出过程中未能正确清理。结果可能导致一个用户收到属于另一个用户的令牌。
严重程度
中等严重程度 - CVSS评分:6.0
CVSS v3基础指标
- 攻击向量: 本地
- 攻击复杂度: 高
- 所需权限: 低
- 用户交互: 需要
- 范围: 未改变
- 机密性: 高
- 完整性: 高
- 可用性: 无
CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N
弱点分类
弱点: CWE-384 - 会话固定
认证用户或建立新用户会话时,未使现有会话标识符失效,给攻击者提供了窃取认证会话的机会。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-12390
- https://access.redhat.com/security/cve/CVE-2025-12390
- https://bugzilla.redhat.com/show_bug.cgi?id=2406793
- keycloak/keycloak#32197
- keycloak/keycloak@5344aad
- keycloak/keycloak@b46fab2
- keycloak/keycloak@d82438a
- keycloak/keycloak@ef75a4d
- keycloak/keycloak#31265
- https://access.redhat.com/errata/RHSA-2025:21370
- https://access.redhat.com/errata/RHSA-2025:21371
元数据
- CVE ID: CVE-2025-12390
- GHSA ID: GHSA-rg35-5v25-mqvp
- 源代码: keycloak/keycloak
- 致谢: levpachmanov - 分析师
发布时间: 2025年10月28日(至GitHub咨询数据库)
更新时间: 2025年11月14日
审核时间: 2025年10月29日
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号