Keycloak 26.x < 26.0.10/26.1.x < 26.1.3/26.2.0 不適切な認証

medium Nessus プラグイン ID 216477

概要

リモートホストに1つ以上のセキュリティ更新がありません。

説明

リモートホストにインストールされている Keycloak のバージョンは、26.0.10 より前の 26.0、26.1.3 より前の 26.1、26.2.0 より前です。したがって、不適切な認証の脆弱性の影響を受けます。Keycloak 組織機能に欠陥が見つかりました。これにより、ユーザー名またはメールが組織のドメインパターンと一致する場合に、組織をユーザーに不適切に割り当てることができます。この問題はマッパーレベルで発生し、トークンでの不正確な表示につながります。アプリケーションがこれらの承認の要求に依存している場合、ユーザーがメンバーではない組織に属していると誤って想定し、承認されていないアクセスや権限を付与する可能性があります。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Keycloak を 26.0.10、26.1.3、26.2.0 以降にアップグレードしてください。

参考資料

https://github.com/keycloak/keycloak/issues/37169

https://github.com/keycloak/keycloak/pull/37235/files

https://github.com/advisories/GHSA-rq4w-cjrr-h8w8

https://bugzilla.redhat.com/show_bug.cgi?id=2346082

プラグインの詳細

深刻度: Medium

ID: 216477

ファイル名: keycloak_26_2_0.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2025/2/19

更新日: 2025/2/21

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.5

CVSS v2

リスクファクター: Medium

基本値: 5.5

現状値: 4.1

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2025-1391

CVSS v3

リスクファクター: Medium

基本値: 5.4

現状値: 4.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:keycloak:keycloak

必要な KB アイテム: Host/local_checks_enabled, Host/uname, installed_sw/Keycloak

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/2/17

脆弱性公開日: 2025/2/17

参照情報

CVE: CVE-2025-1391

CWE: 284

IAVB: 2025-B-0027