发布日期：2025-01-22
更新日期：2025-04-03

受影响系统：

Keycloak Keycloak

描述：

---

CVE(CAN) ID: CVE-2025-0604

Keycloak是Keycloak开源的一种开源身份和访问管理解决方案。
Keycloak存在身份认证错误漏洞，该漏洞源于活动目录用户重置密码时，系统会更新密码，但不执行LDAP绑定以根据AD验证新凭据，具有的AD账户已过期或被禁用的攻击者可利用该漏洞重新获得对程序的未经授权的权限、绕过AD限制和身份认证。

<**>

建议：

---

厂商补丁：

Keycloak
--------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://access.redhat.com/errata/RHSA-2025:2544

浏览次数：195
严重程度：0（网友投票）