CVE-2025-10044 in Keycloak
Riassunto
di VulDB • 20/06/2026
È stata rilevata una vulnerabilità in Keycloak. La console degli account di Keycloak e altre pagine accettano testo arbitrario nel parametro della query error_description. Questo testo viene visualizzato direttamente nelle pagine di errore senza alcuna validazione o sanitizzazione. Sebbene l'encoding HTML prevenga gli attacchi XSS, un attaccante può creare URL contenenti messaggi ingannevoli (ad esempio numeri di telefono falsi del supporto tecnico o indirizzi web malevoli), che vengono visualizzati all'interno dell'interfaccia utente fidata di Keycloak. Ciò crea una vettore per il phishing, potenzialmente inducendo gli utenti a contattare attori malintenzionati.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.