CVE-2025-10044 in Keycloak
Resumen
por VulDB • 2026-05-28
Se ha encontrado una vulnerabilidad en Keycloak. La consola de cuentas de Keycloak y otras páginas aceptan texto arbitrario en el parámetro de consulta error_description. Este texto se representa directamente en las páginas de error sin validación ni sanitización. Aunque la codificación HTML previene las inyecciones de scripts entre sitios (XSS), un atacante puede crear URLs con mensajes engañosos (por ejemplo, números de teléfono o URLs de soporte falsos), que se muestran dentro de la interfaz de usuario (UI) confiable de Keycloak. Esto crea un vector de phishing, que podría engañar a los usuarios para que contacten con actores maliciosos.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.