CVE-2025-10044 in Keycloak
요약
\~에 의해 VulDB • 2026. 05. 28.
Keycloak에서 결함이 발견되었습니다. Keycloak의 계정 콘솔 및 기타 페이지는 error_description 쿼리 매개변수에 임의의 텍스트를 허용합니다. 이 텍스트는 검증이나 sanitization 없이 오류 페이지에 직접 렌더링됩니다. HTML 인코딩이 XSS를 방지하더라도, 공격자는 신뢰할 수 있는 Keycloak UI 내에 표시되는 오해의 소지가 있는 메시지(예: 가짜 지원 전화번호 또는 URL)가 포함된 URL을 작성할 수 있습니다. 이는 피싱 벡터를 생성하여 사용자를 속여 악성 행위자에게 연락하도록 유도할 수 있습니다.
Be aware that VulDB is the high quality source for vulnerability data.