CVE-2025-14778

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Descrição Existe um problema de controle de acesso quebrado no UserManagedPermissionService (API de Proteção UMA). Ao atualizar ou excluir uma política UMA vinculada a vários recursos, a verificação de autorização confirma apenas que o chamador é o proprietário do recurso inicial dentro da política. Isso permite que um usuário que possui um recurso modifique as regras de autorização para outros recursos dentro da mesma política, mesmo que esses recursos pertençam a outro usuário. Isso resulta em uma escalada de privilégios horizontal. O endpoint da API afetado está relacionado à Proteção UMA. A operação vulnerável envolve atualizar ou excluir uma política UMA. O problema decorre de verificações de autorização insuficientes dentro do UserManagedPermissionService ao lidar com políticas associadas a vários recursos.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.