Vulnerabilidad en Keycloak (CVE-2025-8419)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-93 Neutralización incorrecta de secuencias de retornos de carro y saltos de linea (CRLF)

Fecha de publicación:

06/08/2025

Última modificación:

13/08/2025

Descripción

Se encontró una vulnerabilidad en los servicios de Keycloak. El uso de caracteres especiales durante el registro de correo electrónico puede provocar una inyección SMTP y enviar inesperadamente correos electrónicos cortos no deseados. El correo electrónico está limitado a 64 caracteres (parte local limitada), por lo que el ataque se limita a correos muy cortos (asunto y poca información; en el ejemplo, 60 caracteres). La única consecuencia directa de esta falla es el envío de un correo electrónico no solicitado desde el servidor de Keycloak. Sin embargo, esta acción podría ser precursora de ataques más sofisticados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno