关键漏洞信息 CVE ID: CVE-2025-11538 公开日期: 2025年11月13日 严重程度: 中等 CVSS v3 基础分数: 6.8 描述 在Keycloak的服务器分发中存在一个漏洞,当启用调试模式(--debug)时,默认不安全地绑定到所有网络接口(0.0.0.0)。这将调试端口暴露给本地网络,允许在相同网络段上的攻击者附加远程调试器并实现Keycloak Java虚拟机中的远程代码执行。 语句 红帽将此评估为一个中等影响的漏洞,因为需要在不受信网络中运行调试模式。此外,对于红帽单一登录,必须绑定到0.0.0.0地址,这在生产场景中不建议。 缓解措施 对于此问题的缓解措施要么不可用,要么当前可用的选项不符合红帽产品安全标准,包括易用性和部署、适用于广泛安装基础或稳定性。 受影响的包和Red Hat安全公告 Red Hat 构建的 Keycloak 26.4 - 组件: rhbk/keycloak-operator-bundle, rhbk/keycloak-rhel9, rhbk/keycloak-rhel9-operator - 状态: 已修复 - Errata: RHSA-2025:21371 - 发布日期: 2025年11月14日 Red Hat 构建的 Keycloak 26.4.4 - 组件: rhbk/keycloak-rhel9 - 状态: 已修复 - Errata: RHSA-2025:21370 - 发布日期: 2025年11月14日 CVSS v3 分数明细 基础分数: 6.8 攻击向量: 相邻网络 攻击复杂度: 高 所需特权: 无 用户交互: 无 范围: 不变 机密性影响: 高 完整性影响: 高 可用性影响: 无 弱点(CWE) CWE-1327: 绑定到不受限制的IP地址 致谢 该问题由Steven Hawkins(红帽)发现。