Keycloak logs sensitive headers

CVE-2025-11537 → 在 GitHub 檢視 ↗ 在 CVE.org 檢視 ↗ 在 NVD 檢視 ↗

描述

A flaw was found in Keycloak. When the logging format is configured to a verbose, user-supplied pattern (such as the pre-defined 'long' pattern), sensitive headers including Authorization and Cookie are disclosed to the logs in cleartext. An attacker with read access to the log files can extract these credentials (e.g., bearer tokens, session cookies) and use them to impersonate users, leading to a full account compromise.

Patches are available, see:

  • https://github.com/keycloak/keycloak/releases/tag/26.4.11
  • https://github.com/keycloak/keycloak/releases/tag/26.5.6
  • https://github.com/keycloak/keycloak/releases/tag/26.6.0

基本資訊

類型
reviewed
嚴重度
medium
GitHub 上的公告
開啟公告 ↗
儲存庫公告
原始碼
瀏覽原始碼 ↗
公開(公告)
2026-02-10 12:30:28 UTC
更新時間
2026-04-08 21:55:48 UTC
GitHub 審核
2026-02-11 19:08:55 UTC
NVD 公開
2026-02-10

EPSS Score

Score Percentile
0.01% 0.26%

CVSS Scores

Base score Version Severity Vector
5.0 3.1
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N 點擊展開
攻擊向量 (AV:L)
需先取得主機上的執行面,或仰賴其他使用者誤操作/惡意操作才會觸發。
攻擊複雜度 (AC:L)
前置條件清楚,成功路徑穩定,不必仰賴罕見競態或極端環境。
權限需求 (PR:L)
一般使用者權限即可,不必是管理員或 root。
使用者互動 (UI:R)
需要一次明確的使用者動作(安裝、改設定、開啟惡意文件等)才會落地。
作用域 (S:U)
破壞局限在脆弱元件原本的安全權限與信任域之內。
機密性影響 (C:H)
大量讀取、匯出或長期潛伏竊取機敏資料,在實務上成立。
完整性影響 (I:N)
對紀錄真實性與不可否認性的破壞可忽略。
可用性影響 (A:N)
不至於造成業務意義上的長時間停擺或災難性效能崩塌。

Identifiers

Type Value
GHSA GHSA-gv3v-2cpp-3pmq ↗
CVE CVE-2025-11537 ↗

CWEs

CWE id Name
CWE-117 Improper Output Neutralization for Logs

Credits

  • julianladisch (analyst)
  • eminaktas (analyst)

Affected packages (1)

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem Package Vulnerable range First patched Vulnerable functions
maven org.keycloak:keycloak-quarkus-server < 26.5.6 26.5.6

References

cvelogic Threat Intelligence