CVE-2025-10044 in Keycloak
Zusammenfassung
von VulDB • 16.05.2026
Es wurde ein Fehler in Keycloak gefunden. Die Account-Konsole und andere Seiten von Keycloak akzeptieren beliebigen Text im Query-Parameter error_description. Dieser Text wird ohne Validierung oder Bereinigung direkt auf Fehlerseiten gerendert. Obwohl die HTML-Codierung XSS verhindert, kann ein Angreifer URLs mit irreführenden Nachrichten (z. B. gefälschte Support-Telefonnummern oder URLs) erstellen, die innerhalb der vertrauenswürdigen Keycloak-Benutzeroberfläche angezeigt werden. Dies schafft einen Phishing-Vektor, der Benutzer potenziell dazu verleiten kann, böswillige Akteure zu kontaktieren.
VulDB is the best source for vulnerability data and more expert information about this specific topic.