الثغرات ›

CVE-2025-12150

منخفض

CWE-347 — نوع الضعف

                    نُشر: Feb 27, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

3.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A flaw was found in Keycloak’s WebAuthn registration component. This vulnerability allows an attacker to bypass the configured attestation policy and register untrusted or forged authenticators via submission of an attestation object with fmt: "none", even when the realm is configured to require direct attestation. This can lead to weakened authentication integrity and unauthorized authenticator registration.

🤖 ملخص AI

Keycloak's WebAuthn registration allows attackers to bypass attestation policies by submitting forged authenticators with fmt: 'none', even when direct attestation is required. This weakens authentication integrity and enables unauthorized authenticator registration in affected systems.

📄 الوصف (العربية)

يوجد خلل في مكون تسجيل WebAuthn في Keycloak يسمح للمهاجمين بتجاوز سياسات التحقق من الهوية المكونة. يمكن للمهاجمين تقديم كائنات تحقق مزيفة بصيغة 'none' حتى عندما يكون النظام مكونًا لطلب التحقق المباشر. هذا يضعف سلامة المصادقة ويسمح بتسجيل مصادقات غير مصرح بها.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 30, 2026 08:34

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government telecom healthcare

🎯 تقنيات MITRE ATT&CK

T1556 T1111 T1187

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update Keycloak to the latest patched version that properly validates attestation policies. Enforce direct attestation requirements at the realm level and verify that WebAuthn registration components reject fmt: 'none' attestation objects when direct attestation is mandated. Implement additional authentication controls and monitor for suspicious authenticator registrations.

🔧 خطوات المعالجة (العربية)

قم بتحديث Keycloak إلى أحدث إصدار مصحح يتحقق بشكل صحيح من سياسات التحقق من الهوية. فرض متطلبات التحقق المباشر على مستوى المجال والتحقق من رفض مكونات تسجيل WebAuthn لكائنات التحقق من الهوية fmt: 'none' عند طلب التحقق المباشر. تنفيذ عناصر تحكم مصادقة إضافية ومراقبة التسجيلات المريبة للمصادقات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 IA-2 IA-5

🟡 ISO 27001:2022

A.9.2.1 A.9.2.2 A.9.2.4 A.9.4.3

🔗 المراجع والمصادر 7

🔗

https://access.redhat.com/errata/RHSA-2025:21370

secalert@redhat.com

🔗

https://access.redhat.com/errata/RHSA-2025:21371

secalert@redhat.com

🔗

https://access.redhat.com/errata/RHSA-2025:22088

secalert@redhat.com

🔗

https://access.redhat.com/errata/RHSA-2025:22089

secalert@redhat.com

🔗

https://access.redhat.com/security/cve/CVE-2025-12150

secalert@redhat.com

🔗

https://bugzilla.redhat.com/show_bug.cgi?id=2406192

secalert@redhat.com

🔗

https://github.com/keycloak/keycloak/issues/43723

secalert@redhat.com

📊 CVSS Score

3.1

/ 10.0 — منخفض

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة منخفض

CVSS Score3.1

CWECWE-347

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-02-27

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-347

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-12150

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب