一、 漏洞 CVE-2025-1391 基础信息
漏洞标题
Keycloak-services: Keycloak组织映射器中的授权不当允许未经授权的组织声明
来源:AIGC 神龙大模型
漏洞描述信息
在Keycloak组织功能中发现了一个漏洞,该漏洞允许将用户错误地分配给某个组织,如果用户的用户名或电子邮件与组织的域名模式匹配。该问题发生在映射器层面,导致令牌中的信息表示不正确。如果应用程序依赖这些声明进行授权,可能会错误地认为用户属于他们实际上不属于的组织,从而可能导致未授权的访问或权限授予。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
Keycloak-services: improper authorization in keycloak organization mapper allows unauthorized organization claims
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in the Keycloak organization feature, which allows the incorrect assignment of an organization to a user if their username or email matches the organization’s domain pattern. This issue occurs at the mapper level, leading to misrepresentation in tokens. If an application relies on these claims for authorization, it may incorrectly assume a user belongs to an organization they are not a member of, potentially granting unauthorized access or privileges.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-1391 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-1391 的情报信息