【安全资讯】CVE-2024-8698: Keycloak漏洞威胁SAML认证安全

概要：

Keycloak广泛用于身份和访问管理，最近发现了一个高危漏洞，编号为CVE-2024-8698。该漏洞涉及其SAML签名验证过程，可能使恶意攻击者绕过认证机制，进而带来权限提升和用户假冒攻击的风险。

主要内容：

CVE-2024-8698漏洞出现在Keycloak的XMLSignatureUtil类中，该类负责验证SAML签名。在解析XML结构时，该类仅依据签名的位置错误地确定签名适用于整个SAML文档或特定断言，而忽略了关键的“Reference”元素。攻击者可利用此漏洞构造包含有效签名断言和未签名断言的恶意SAML响应，通过巧妙地置入未签名断言，欺骗Keycloak的验证逻辑接受整个响应，从而绕过关键部分的验证。

成功利用这一漏洞，攻击者在身份提供商(IdP)环境中可以获得高权限账户的未授权访问，从而威胁整个系统的安全。同样，在服务提供商(SP)环境中，攻击者可以假冒合法用户，访问其无权使用的资源。受影响的Keycloak版本包括25.0.5及之前的所有版本。Keycloak已在25.0.6版本中修复了该漏洞，强烈建议所有Keycloak部署立即更新至该版本或更高版本。

这次事件严重影响了广泛依赖Keycloak进行身份管理的组织，提醒大家时刻关注安全更新并及时采取措施，以防止类似漏洞带来潜在的巨大安全隐患。