CVE-2025-10044 in Keycloakthông tin

Tóm tắt

Bởi VulDB • 28/05/2026

Một lỗ hổng đã được phát hiện trong Keycloak. Bảng điều khiển tài khoản và các trang khác của Keycloak chấp nhận văn bản tùy ý trong tham số truy vấn error_description. Văn bản này được hiển thị trực tiếp trên các trang lỗi mà không có bất kỳ xác thực hoặc làm sạch nào. Mặc dù mã hóa HTML ngăn chặn XSS, nhưng kẻ tấn công có thể tạo ra các URL với các thông điệp gây hiểu lầm (ví dụ: số điện thoại hỗ trợ giả mạo hoặc URL độc hại), những thông điệp này sẽ được hiển thị trong giao diện người dùng đáng tin cậy của Keycloak. Điều này tạo ra một vectơ lừa đảo (phishing), có khả năng đánh lừa người dùng liên hệ với các bên xấu.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

Redhat

Đặt trước

05/09/2025

Tiết lộ

05/09/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00291

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!