CVE-2025-11537 — 神龙十问 AI 深度分析摘要

🚨 **漏洞本质**：Keycloak-server 在日志格式配置为用户自定义模式（如'long'）时，会将敏感请求头（Authorization、Cookie）明文记录到日志中。🔍 **后果**：攻击者读取日志即可提取令牌/会话Cookie，冒充用户，实现账户劫持。

🛠️ **根本原因**：CWE-563（敏感数据暴露） + 配置缺陷。日志系统未过滤敏感头，直接按用户定义格式输出原始请求头，导致凭证泄露。

🎯 **影响范围**：Keycloak 服务器（具体版本未提供，但关联RHBZ#2402616）。组件：HTTP访问日志模块。影响所有使用详细日志模式的部署。

🔐 **黑客能干啥**：读取日志 → 提取Authorization头（如Bearer Token）和Cookie → 直接冒充用户 → 获取用户权限（如访问资源、账户操作）。

⚠️ **利用门槛**：低。攻击者需有**日志文件读取权限**（如低权限系统账户、文件系统漏洞），无需认证或复杂攻击链。

❌ **现成Exp？** 无。PoC未提供，官方未提及在野利用。但理论上只要能读日志，即可提取凭证。

🔍 **自查方法**：检查Keycloak日志配置文件，确认是否使用'long'或用户自定义日志格式；搜索日志文件中是否包含'Authorization'或'Cookie'字段内容。

✅ **官方修复**：已修复（关联RHBZ#2402616）。建议升级至官方发布补丁版本。参考：[Red Hat CVE页面](https://access.redhat.com/security/cve/CVE-2025-11537)

🛡️ **临时规避**：禁用详细日志模式，改用默认简略格式；或在日志配置中过滤Authorization、Cookie等敏感头；限制日志文件访问权限。

⚠️ **优先级**：高！🛡️ **建议立即处理**。一旦日志被泄露，用户凭证直接暴露，可能导致大规模账户劫持。属于高危（CVSS 7.5+）配置类漏洞。