一、 漏洞 CVE-2025-12110 基础信息
漏洞信息
                                        # 用户可刷新已移除offline_access权限的离线会话

## 概述

在 Keycloak 中发现一个漏洞:即使客户端移除了 `offline_access` 范围,**离线会话仍保持有效**,导致刷新令牌依然可被使用以获取新的访问令牌。

## 影响版本

未明确指定具体版本,但问题存在于受影响的 Keycloak 版本中。

## 细节

- 当客户端配置中**移除 `offline_access` scope** 后,预期应导致所有相关离线会话失效。
- 但实际上,系统仍然接受已颁发的刷新令牌,并允许通过它获取新的访问令牌。
- 该行为违反了管理员在移除范围后希望终止离线会话的预期操作。

## 影响

- **权限维持风险**:即使管理员试图阻止离线访问,攻击者仍可能通过现有的刷新令牌维持长期访问。
- **安全控制失效**:预期的安全机制(通过移除 scope 来限制离线访问)未按设计执行,可能引发意外授权状态。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Keycloak: org.keycloak:keycloak-services: user can refresh offline session even after client's offline_access scope was removed
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in Keycloak. An offline session continues to be valid when the offline_access scope is removed from the client. The refresh token is accepted and you can continue to request new tokens for the session. As it can lead to a situation where an administrator removes the scope, and assumes that offline sessions are no longer available, but they are.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
不充分的会话过期机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Red Hat build of Keycloak 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Red Hat build of Keycloak是美国红帽(Red Hat)公司的一款用于单点登录的Web应用。 Red Hat build of Keycloak存在代码问题漏洞,该漏洞源于移除客户端的offline_access范围后离线会话仍然有效,可能导致管理员误判离线会话可用性。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-12110 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-12110 的情报信息

  • 标题: CVE-2025-12110 - Red Hat Customer Portal -- 🔗来源链接

    标签: vdb-entry x_refsource_REDHAT

    神龙速读
    CVE-2025-12110 - Red Hat Customer Portal

  • 标题: 2406033 – (CVE-2025-12110) CVE-2025-12110 keycloak: org.keycloak:keycloak-services: User can refresh offline session even after client's offline_access scope was removed -- 🔗来源链接

    标签: issue-tracking x_refsource_REDHAT

    神龙速读
    2406033 – (CVE-2025-12110) CVE-2025-12110 keycloak: org.keycloak:keycloak-services: User can refresh offline session even after client's offline_access scope was removed
  • https://nvd.nist.gov/vuln/detail/CVE-2025-12110
四、漏洞 CVE-2025-12110 的评论

暂无评论

发表评论