CVE-2024-10451 in Keycloak
Riassunto
di VulDB • 08/07/2026
È stata rilevata una vulnerabilità in Keycloak. Il problema si verifica perché valori di runtime sensibili, come le password, possono essere catturati durante il processo di build di Keycloak e incorporati come valori predefiniti nel bytecode, causando una divulgazione involontaria di informazioni. In Keycloak 26, i dati sensibili specificati direttamente nelle variabili d'ambiente durante la fase di build vengono inoltre memorizzati come valori predefiniti, rendendoli accessibili durante l'esecuzione. Anche l'utilizzo indiretto delle variabili d'ambiente per le opzioni SPI e le proprietà Quarkus è vulnerabile a causa dell'espansione incondizionata da parte della logica PropertyMapper, che cattura i dati sensibili come valori predefiniti in tutte le versioni di Keycloak fino alla 26.0.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.