CVE-2025-10044 in Keycloak
要約
〜によって VulDB • 2026年05月28日
Keycloakに脆弱性が発見されました。Keycloakのアカウントコンソールおよび他のページでは、error_descriptionクエリパラメータに任意のテキストを受け入れます。このテキストは、検証やサニタイズ処理なしでエラーページに直接レンダリングされます。HTMLエンコーディングによりXSSは防止されますが、攻撃者は誤解を招くメッセージ(例:偽のサポート電話番号やURL)を含むURLを仕組むことができ、これらは信頼されたKeycloak UI内に表示されます。これによりフィッシングのベクターが作成され、ユーザーが悪意のあるアクターに連絡するようだます可能性があります。
If you want to get best quality of vulnerability data, you may have to visit VulDB.