CVE-2025-11538

Keycloak-server: debug default bind address

CVSS 6.8 MEDIUMEPSS 0.5%CWE-1327

Em resumo

O modo de depuração do Keycloak expõe uma porta de depuração Java para toda a rede por padrão, permitindo que atacantes na mesma rede controlem remotamente o servidor e executem código malicioso.

Detalhe técnico

Quando o modo de depuração é ativado com a flag --debug, a porta JDWP se liga a 0.0.0.0 em vez de localhost, expondo-a a atacantes acessíveis pela rede. Um atacante não autenticado com acesso à rede pode conectar um depurador remoto para alcançar execução arbitrária de código dentro da JVM do Keycloak sem exigir credenciais válidas.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A vulnerability exists in Keycloak's server distribution where enabling debug mode (--debug <port>) insecurely defaults to binding the Java Debug Wire Protocol (JDWP) port to all network interfaces (0.0.0.0). This exposes the debug port to the local network, allowing an attacker on the same network segment to attach a remote debugger and achieve remote code execution within the Keycloak Java virtual machine.

CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Produtos afetados

Keycloak · keycloak Red Hat · Red Hat build of Keycloak 26.4 Red Hat · Red Hat build of Keycloak 26.4.4

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://access.redhat.com/errata/RHSA-2025:21370 https://access.redhat.com/errata/RHSA-2025:21371 https://access.redhat.com/security/cve/CVE-2025-11538 https://bugzilla.redhat.com/show_bug.cgi?id=2402622 https://github.com/keycloak/keycloak/commit/9e98f2bf961f68853cea6fbec58b512ed8be7ca9 https://github.com/keycloak/keycloak/pull/43574