一、 漏洞 CVE-2025-7365 基础信息
漏洞信息
# Keycloak:首次登录流程中的电子邮件验证步骤中的网络钓鱼攻击
## 概述
Keycloak中存在一个漏洞,允许经过身份验证的攻击者在身份提供商(IdP)登录过程中将账户合并到另一个现有账户,并修改其电子邮件地址以匹配受害者的电子邮件地址。这可能引发潜在的钓鱼攻击,使攻击者能够获取受害者的账户访问权限。
## 影响版本
未提供具体版本信息。
## 细节
攻击者在身份提供商(IdP)登录过程中试图将自己的账户与另一个现有账户合并时,会被提示“审查个人资料”信息。此时,攻击者可以修改其电子邮件地址以匹配受害者的账户。这将触发一封验证电子邮件发送到受害者的电子邮件地址。然而,验证电子邮件内容中不会显示攻击者的电子邮件地址,这提供了一个潜在的钓鱼机会。如果受害者点击验证链接,攻击者即可获取受害者的账户访问权限。
## 影响
该漏洞可能使攻击者通过钓鱼手段获取受害者的账户访问权限,导致账户安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Keycloak: phishing attack via email verification step in first login flow
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in Keycloak. When an authenticated attacker attempts to merge accounts with another existing account during an identity provider (IdP) login, the attacker will subsequently be prompted to "review profile" information. This vulnerability allows the attacker to modify their email address to match that of a victim's account, triggering a verification email sent to the victim's email address. The attacker's email address is not present in the verification email content, making it a potential phishing opportunity. If the victim clicks the verification link, the attacker can gain access to the victim's account.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
源验证错误
来源:美国国家漏洞数据库 NVD
漏洞标题
Keycloak 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Keycloak是Keycloak开源的一种开源身份和访问管理解决方案。 Keycloak存在访问控制错误漏洞,该漏洞源于身份提供者登录期间账户合并功能存在缺陷,可能导致攻击者通过修改电子邮件地址获取受害者账户访问权限。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-7365 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-7365 的情报信息
-
-
标题: 2378852 – (CVE-2025-7365) CVE-2025-7365 keycloak: Phishing attack via email verification step in first login flow -- 🔗来源链接
标签: issue-tracking x_refsource_REDHAT
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-7365