Keycloak会话标识符重用漏洞导致会话劫持风险分析

Keycloak vulnerable to session takeovers due to reuse of session identifiers

漏洞详情

包名: maven - org.keycloak:keycloak-services (Maven)

受影响版本: < 26.0.0

已修复版本: 26.0.0

漏洞描述

在Keycloak中发现一个缺陷。当多个用户使用相同的设备和浏览器时，用户可能意外获取另一个用户的会话访问权限。这种情况发生的原因是Keycloak有时会重用会话标识符，并且在浏览器Cookie缺失时登出过程中未能正确清理。结果可能导致一个用户收到属于另一个用户的令牌。

严重程度

中等严重程度 - CVSS评分：6.0

CVSS v3基础指标

• 攻击向量: 本地
• 攻击复杂度: 高
• 所需权限: 低
• 用户交互: 需要
• 范围: 未改变
• 机密性: 高
• 完整性: 高
• 可用性: 无

CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N

弱点分类

弱点: CWE-384 - 会话固定

认证用户或建立新用户会话时，未使现有会话标识符失效，给攻击者提供了窃取认证会话的机会。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-12390
• https://access.redhat.com/security/cve/CVE-2025-12390
• https://bugzilla.redhat.com/show_bug.cgi?id=2406793
• keycloak/keycloak#32197
• keycloak/keycloak@5344aad
• keycloak/keycloak@b46fab2
• keycloak/keycloak@d82438a
• keycloak/keycloak@ef75a4d
• keycloak/keycloak#31265
• https://access.redhat.com/errata/RHSA-2025:21370
• https://access.redhat.com/errata/RHSA-2025:21371

元数据

• CVE ID: CVE-2025-12390
• GHSA ID: GHSA-rg35-5v25-mqvp
• 源代码: keycloak/keycloak
• 致谢: levpachmanov - 分析师

发布时间: 2025年10月28日（至GitHub咨询数据库）

更新时间: 2025年11月14日

审核时间: 2025年10月29日
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码