Vulnerabilidad en org.keycloak/keycloak-model-storage-service (CVE-2025-9162)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/08/2025
Última modificación:
22/09/2025
Descripción
Se encontró una falla en org.keycloak/keycloak-model-storage-service. El recurso personalizado KeycloakRealmImport sustituye marcadores de posición dentro de los documentos de dominio importados, lo que podría hacer referencia a variables de entorno. Este proceso de sustitución permite ataques de inyección al procesar documentos de dominio manipulados. Un atacante puede aprovechar esto para inyectar contenido malicioso durante el proceso de importación del dominio. Esto puede tener consecuencias imprevistas en el entorno de Keycloak.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2025:15336
- https://access.redhat.com/errata/RHSA-2025:15337
- https://access.redhat.com/errata/RHSA-2025:15338
- https://access.redhat.com/errata/RHSA-2025:15339
- https://access.redhat.com/errata/RHSA-2025:16399
- https://access.redhat.com/errata/RHSA-2025:16400
- https://access.redhat.com/security/cve/CVE-2025-9162
- https://bugzilla.redhat.com/show_bug.cgi?id=2389396