PT-2025-44084 · Red Hat · Keycloak
Ahus1
·
Publicado
2025-10-28
·
Atualizado
2025-12-19
·
CVE-2025-10939
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Keycloak (versões afetadas não especificadas)
Descrição
Existe uma falha no Keycloak na qual o caminho
/admin pode ser acessado via um proxy, como o ha-proxy, utilizando caminhos relativos ou não normalizados. A documentação do Keycloak recomenda não expor o caminho /admin externamente, especialmente quando um proxy está em uso. Esta falha permite o acesso ao caminho da aplicação /admin relativo ao /realms, que é destinado à exposição.Recomendações
Não exponha o caminho
/admin a redes externas, principalmente ao utilizar um servidor proxy.Correção
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Keycloak