发布日期：2026-02-09
更新日期：2026-06-04

受影响系统：

Keycloak Keycloak

描述：

---

CVE(CAN) ID: CVE-2025-14778

Keycloak是Keycloak开源的一种开源身份和访问管理解决方案。
Keycloak存在访问控制错误漏洞，该漏洞源于当更新/删除绑定多项资源的UMA权限策略时，鉴权逻辑仅校验调用者是否拥有策略列表内第一项资源的所有权，不再循环校验策略中其余资源归属，攻击者可利用该漏洞修改策略黑白名单、可访问用户/客户端，非法开放或封禁其他用户名下资源。

<**>

建议：

---

厂商补丁：

Keycloak
--------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://access.redhat.com/errata/RHSA-2026:2365

浏览次数：69
严重程度：0（网友投票）