GHSA-4hx9-48xh-5mxr

Опубликовано: 19 дек. 2025

Источник: github

Github: Прошло ревью

CVSS3: 5.5

Описание

Keycloak LDAP User Federation provider enables admin-triggered untrusted Java deserialization

A flaw was found in the Keycloak LDAP User Federation provider. This vulnerability allows an authenticated realm administrator to trigger deserialization of untrusted Java objects via a malicious LDAP server configuration.

Mitigation

Disable LDAP referrals in all LDAP user providers in all realms if projects cannot upgrade to the patched versions.

Ссылки

Пакеты

Наименование

org.keycloak:keycloak-ldap-federation

maven

Затронутые версииВерсия исправления

< 26.4.6

26.4.6

EPSS

Процентиль: 3%

0.00017

Низкий

5.5 Medium

CVSS3

CVE ID

CVE-2025-13467

Дефекты

CWE-502

Связанные уязвимости

CVE-2025-13467

CVSS3: 5.5

nvd

2 месяца назад

CVE-2025-13467

CVSS3: 5.5

debian

2 месяца назад

A flaw was found in the Keycloak LDAP User Federation provider. This v ...

EPSS

Процентиль: 3%

0.00017

Низкий

5.5 Medium

CVSS3

CVE ID

CVE-2025-13467

Дефекты

CWE-502