一、 漏洞 CVE-2025-11429 基础信息
漏洞信息
# Keycloak 会话长度不合规漏洞
## 概述
Keycloak 存在一个逻辑漏洞,涉及“记住我(Remember Me)”功能的领域(realm)设置未能即时生效。
## 影响版本
描述中未明确指出具体受影响版本,但问题出现在 Keycloak 的会话管理逻辑中,涉及 realm 级配置与会话本地标志的交互。
## 细节
当管理员禁用 realm 的“记住我”选项后,此前创建的用户会话仍保留“记住我”启用时的长期有效状态,直到其自然过期。系统未对该配置变更做出即时应对。问题根源在于 Keycloak 的会话过期逻辑依赖于会话本地的“remember-me”标志,而没有重新验证当前 realm 的配置状态。
## 影响
此漏洞会扩大攻击者通过会话劫持或未经授权的长期访问实现持续控制的风险,削弱管理员对安全性设置变更后产生的实际防护效力。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Keycloak-server: too long and not settings compliant session
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in Keycloak. Keycloak does not immediately enforce the disabling of the "Remember Me" realm setting on existing user sessions. Sessions created while "Remember Me" was active retain their extended session lifetime until they expire, overriding the administrator's recent security configuration change. This is a logic flaw in session management increases the potential window for successful session hijacking or unauthorized long-term access persistence. The flaw lies in the session expiration logic relying on the session-local "remember-me" flag without validating the current realm-level configuration.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
不充分的会话过期机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Red Hat Build of Keycloak 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Red Hat build of Keycloak是美国红帽(Red Hat)公司的一款用于单点登录的Web应用。 Red Hat Build of Keycloak存在代码问题漏洞,该漏洞源于会话管理逻辑缺陷,未验证当前域级别配置,可能导致会话劫持或未经授权的长期访问。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11429 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-11429 的情报信息
-
-
标题: 2402148 – (CVE-2025-11429) CVE-2025-11429 keycloak-server: Too long and not settings compliant session -- 🔗来源链接
标签: issue-tracking x_refsource_REDHAT
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-11429
四、漏洞 CVE-2025-11429 的评论
暂无评论