CVE-2025-10044 in Keycloak
Tóm tắt
Bởi VulDB • 28/05/2026
Một lỗ hổng đã được phát hiện trong Keycloak. Bảng điều khiển tài khoản và các trang khác của Keycloak chấp nhận văn bản tùy ý trong tham số truy vấn error_description. Văn bản này được hiển thị trực tiếp trên các trang lỗi mà không có bất kỳ xác thực hoặc làm sạch nào. Mặc dù mã hóa HTML ngăn chặn XSS, nhưng kẻ tấn công có thể tạo ra các URL với các thông điệp gây hiểu lầm (ví dụ: số điện thoại hỗ trợ giả mạo hoặc URL độc hại), những thông điệp này sẽ được hiển thị trong giao diện người dùng đáng tin cậy của Keycloak. Điều này tạo ra một vectơ lừa đảo (phishing), có khả năng đánh lừa người dùng liên hệ với các bên xấu.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.