Red Hat Build of Keycloak潜在钓鱼漏洞CVE-2025-7365

Red Hat build of Keycloak是红帽引入的新身份和访问管理，是Red Hat SSO的上游项目，通过常见标准提供Web SSO功能保护Web应用。

Keycloak是一个“身份和访问管理”的工具，由Red Hat的人员提供开发与维护。作为一个开源工具，Keycloak已获得Apache 2.0的许可证。

一、基本情况

Keycloak使用Quarkus构建的应用程序，Quarkus针对容器提供框架优先方法，更加灵活和模块化，为开发云原生应用程序提供许多功能。

Keycloak服务器充当OpenID Connect或基于SAML的用户身份供应商（IdP），允许企业用户或三方IdP使用标准安全令牌保护应用程序。

栋科技漏洞库关注到Keycloak通过电子邮件验证步骤进行首次登录流程潜在钓鱼攻击缺陷，漏洞追踪为CVE-2025-7365，CVSS评分5.4。

二、漏洞分析

CVE-2025-7365漏洞是在Keycloak中发现的一个缺陷，这一漏洞允许攻击者通过首次登录流程中的电子邮件验证步骤进行网络钓鱼攻击。

具体来说，当经身份验证的攻击者试图在身份提供商（IdP）登录期间将帐户与另一个现有帐户合并时，系统会提示查看后者的个人信息。

该漏洞允许攻击者修改后者的电子邮件来匹配受害者的账户，从而直接触发发送到受害者电子邮件的验证电子邮箱。

但在此过程中，攻击者的电子邮件并不会出现在验证电子邮件的内容中，这也就给了攻击者可乘之机，从而使其成为潜在的网络钓鱼机会。

因此，当受害者点击了接收到的邮件里的验证链接时，攻击者就可以直接访问受害者账户，因此相对而言，漏洞的危害性自然不言而喻了。

当然，我们不难发现该漏洞被利用存在诸多前提条件：

1、受害者必须在Keycloak中配置IdP，攻击者需要注册Keycloak和身份提供者帐户；

2、攻击者需要知道受害者的电子邮件或Keycloak用户名；

3、受害者需要在令牌激活的5分钟内接受验证链接。

当上述三个条件全部成立时，攻击者即可成功利用漏洞完成钓鱼攻击，因此建议禁用身份提供者帐户审查，以防止用户可能修改身份信息。

三、影响范围

Red Hat Build of Keycloak 相关产品

四、修复建议

未知

五、参考链接

管理员已设置登录后刷新可查看