Er is een beveiligingslek gevonden in het Keycloak beheerconsole als Fine-Grained Admin Permissions (FGAPv2) is ingeschakeld. Dit lek, aangeduid als CVE-2025-7784, maakt privilege-escalatie mogelijk doordat een beheerdersgebruiker met de rol ‘manage-users’ hun rechten kan verhogen naar ‘realm-admin’. Deze kwetsbaarheid ondermijnt de beoogde scheiding van verantwoordelijkheden en vormt een gevaar voor de beveiliging van de realm.
Overzicht
Deze kwetsbaarheid is geclassificeerd als ‘Gemiddeld’ volgens de Red Hat beoordeling en heeft een CVSS-score van 6.5 wat duidt op een medium impactniveau. Het netwerk is de aanvalsvector, met lage aanvalscomplexiteit.
Aanbevelingen
Op dit moment zijn er geen effectieve maatregelen beschikbaar die voldoen aan de Red Hat Product Security criteria. Het wordt aangeraden om alternatieve mitigaties te evalueren of te wachten op officiële updates of fixes van Red Hat.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7784?
Het betreft een kwetsbaarheid in de privileges van het Keycloak beheerderspaneel, waardoor een gebruiker met bepaalde rechten deze kan uitbreiden zonder juiste autorisatie.
Welke systemen zijn kwetsbaar voor CVE-2025-7784?
Systeemeigenaren van de Red Hat Build of Keycloak worden direct beïnvloed, terwijl de JBoss Enterprise Application Platform en andere producten niet beïnvloed worden.
Bestaat er al een patch of beveiligingsupdate?
Nee, er is momenteel geen patch beschikbaar, en er zijn geen bestaande effectieve mitigaties bekend.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan niet-geautoriseerde toegang krijgen tot verhoogde privileges binnen de Keycloak beheeromgeving, wat kan leiden tot grootschalige compromittering van de systeemveiligheid.
Let op: er zijn op dit moment geen meldingen van actieve exploitatie.
