CVE-2025-11429

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Descrição Existe uma falha lógica no gerenciamento de sessões do Keycloak. O software não impõe imediatamente a desativação da configuração de realm "Lembrar-me" nas sessões de usuário existentes. Sessões criadas enquanto o "Lembrar-me" estava ativo mantêm seu tempo de vida de sessão estendido até expirarem, contornando a recente alteração de configuração de segurança do administrador. Esta falha origina-se da lógica de expiração de sessão que depende da flag "remember-me" local da sessão sem verificar a configuração atual em nível de realm. Isso aumenta o potencial para sequestro de sessão ou acesso não autorizado de longo prazo.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.