CVE-2025-11538
Keycloak-server: debug default bind address
En resumen
El modo de depuración de Keycloak expone un puerto de depuración Java a toda la red por defecto, permitiendo que atacantes en la misma red controlen remotamente el servidor y ejecuten código malicioso.
Detalle técnico
Cuando se habilita el modo de depuración con la flag --debug, el puerto JDWP se vincula a 0.0.0.0 en lugar de localhost, exponiéndolo a atacantes accesibles desde la red. Un atacante no autenticado con acceso a la red puede conectar un depurador remoto para lograr ejecución arbitraria de código dentro de la JVM de Keycloak sin requerir credenciales válidas.
Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability exists in Keycloak's server distribution where enabling debug mode (--debug <port>) insecurely defaults to binding the Java Debug Wire Protocol (JDWP) port to all network interfaces (0.0.0.0). This exposes the debug port to the local network, allowing an attacker on the same network segment to attach a remote debugger and achieve remote code execution within the Keycloak Java virtual machine.
CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Productos afectados
Keycloak · keycloakRed Hat · Red Hat build of Keycloak 26.4Red Hat · Red Hat build of Keycloak 26.4.4¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://access.redhat.com/errata/RHSA-2025:21370https://access.redhat.com/errata/RHSA-2025:21371https://access.redhat.com/security/cve/CVE-2025-11538https://bugzilla.redhat.com/show_bug.cgi?id=2402622https://github.com/keycloak/keycloak/commit/9e98f2bf961f68853cea6fbec58b512ed8be7ca9https://github.com/keycloak/keycloak/pull/43574