CVE-2025-13881
Mis à jour :
Accès non autorisé aux attributs utilisateur dans Keycloak
Une faille de sécurité identifiée sous la référence CVE-2025-13881 affecte Keycloak. Elle permet à un administrateur disposant de droits limités d’accéder à des attributs utilisateur sensibles qui devraient normalement être masqués.
Points clés :
- La faille réside dans l’API d’administration de Keycloak, plus précisément dans le point d’accès
/unmanagedAttributes. - Ce point d’accès ne respecte pas correctement les configurations de visibilité définies dans les paramètres du profil utilisateur.
Vulnérabilités :
- CVE-2025-13881
- CWE-266 : Attribution incorrecte de privilèges. Cette vulnérabilité permet à un administrateur disposant du rôle
view-users, par exemple, de récupérer des attributs personnalisés sensibles tels que des numéros de téléphone ou des adresses personnelles, même s’ils ont été configurés pour être cachés.
Recommandations :
Bien que l’article ne fournisse pas de recommandations directes, la nature de la vulnérabilité suggère que la correction par les développeurs de Keycloak est nécessaire pour renforcer le contrôle d’accès au niveau de l’API d’administration et s’assurer que les configurations de visibilité des attributs sont strictement appliquées. Les utilisateurs de Keycloak devraient suivre les mises à jour de sécurité et les correctifs officiels dès leur publication.