Wiz
Datenbank der SchwachstelleCVE-2025-12390

CVE-2025-12390
Java Schwachstellenanalyse und -minderung

Überblick

A security vulnerability (CVE-2025-12390) was discovered in Keycloak, where users can accidentally gain access to another user's session when sharing the same device and browser. The vulnerability was disclosed on October 28, 2025, affecting Keycloak's session management system. The issue stems from Keycloak's improper handling of session identifiers during logout processes, particularly when browser cookies are missing (NVD, Red Hat).

Technische Details

The vulnerability is classified as CWE-384 (Session Fixation) with a CVSS v3.1 base score of 6.0 (Medium). The vulnerability vector is CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N, indicating local access, high attack complexity, low privileges required, user interaction required, unchanged scope, and high impacts on confidentiality and integrity, but no impact on availability (Red Hat).

Aufprall

When exploited, this vulnerability allows one user to receive tokens belonging to another user, potentially leading to unauthorized access to user sessions. The impact is particularly significant when multiple users share the same device and browser, as it can result in unintended access to another user's authenticated session (NVD).

Risikominderung und Problemumgehungen

According to Red Hat, mitigation options for this issue are either not available or do not meet their Product Security criteria for ease of use, deployment, applicability to widespread installation base, or stability (Red Hat).

Reaktionen der Community

Red Hat has acknowledged the vulnerability and credited Simon Levermann from CTS EVENTIM Solutions GmbH for reporting this security issue (Red Hat).

Zusätzliche Ressourcen

QuelleDieser Bericht wurde mithilfe von KI erstellt

Verwandt Java Schwachstellen:

CVE-Kennung

Strenge

Punktzahl

Technologieen

Name der Komponente

CISA KEV-Exploit

Hat fix

Veröffentlichungsdatum

CVE-2025-62258HIGH7
  • JavaJava
  • cpe:2.3:a:liferay:liferay_portal
NeinJaOct 27, 2025
CVE-2025-62259MEDIUM6.9
  • JavaJava
  • com.liferay.portal:release.portal.bom
NeinJaOct 27, 2025
CVE-2025-12390MEDIUM6
  • JavaJava
  • org.keycloak:keycloak-services
NeinNeinOct 28, 2025
CVE-2025-64132MEDIUM5.4
  • JavaJava
  • io.jenkins.plugins:mcp-server
NeinJaOct 29, 2025
CVE-2025-10939LOW3.7
  • JavaJava
  • org.keycloak:keycloak-quarkus-server
NeinNeinOct 28, 2025

Kostenlose Schwachstellenbewertung

Benchmarking Ihrer Cloud-Sicherheitslage

Bewerten Sie Ihre Cloud-Sicherheitspraktiken in 9 Sicherheitsbereichen, um Ihr Risikoniveau zu bewerten und Lücken in Ihren Abwehrmaßnahmen zu identifizieren.

Bewertung anfordern

Zusätzliche Wiz-Ressourcen

Cloud Vulnerability DB

Cloud Vulnerability DB

Eine von der Community geführte Datenbank für Schwachstellen

PEACH

PEACH

Ein Framework zur Mandantenisolation

Eine personalisierte Demo anfordern

Sind Sie bereit, Wiz in Aktion zu sehen?

"Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads."
David EstlickCISO
"„Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.“ "
Adam FletcherSicherheitsbeauftragter
"„Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch tatsächlich ist.“"
Greg PoniatowskiLeiter Bedrohungs- und Schwachstellenmanagement
Demo anfordern