Keycloak Security Advisory: Phishing mediante verificación de email en el primer flujo de login

Resumen Keycloak ha publicado un nuevo aviso de seguridad: Ataque de phishing mediante el paso de verificación de email en el flujo de primer login. Fuente oficial: GHSA-xhpr-465j-7p9q.

Severidad: Moderada Paquete afectado: org.keycloak:keycloak-services (Maven) Versiones afectadas: <26.0.13, <26.2.6 Versiones parcheadas: 26.2.13, 26.2.6, 26.3.0

---

¿Cuál es el problema?

Existe un fallo en el flujo de primer login durante un login con IdP. Un atacante que ya tiene una cuenta registrada puede iniciar la vinculación de cuenta con la cuenta existente de una víctima. Durante el posterior paso de "revisar perfil", el atacante puede cambiar su dirección de email por el email de la víctima, lo que provoca el envío de un email de verificación a la víctima. Si la víctima hace clic en el enlace de verificación, el atacante puede obtener acceso a la cuenta de la víctima.

Aunque no es un ataque de cero interacción (la víctima debe hacer clic en el enlace de verificación), el email del atacante no aparece en el email de verificación, lo que convierte este escenario en una oportunidad de phishing.

Impacto

• Posible toma de control de cuenta si la víctima hace clic en el enlace de verificación enviado durante el flujo iniciado por el atacante.
• Afecta a despliegues que ejecutan las versiones vulnerables indicadas anteriormente.

Nuestro estado (IDPTrust)

• Todos los clientes gestionados han sido notificados.
• Las ventanas de parche están programadas en todos los entornos (desarrollo, staging, producción) para migrar a las versiones parcheadas indicadas en el aviso.
• Estamos auditando los flujos de vinculación de cuentas y verificación de email, y reforzando la monitorización alrededor de los Eventos de Administración y los flujos de login.

Acciones recomendadas

1. Actualiza a una versión parcheada lo antes posible (26.2.13, 26.2.6 o 26.3.0, según el aviso).
2. Hasta que actualices:
   • Considera deshabilitar o restringir la vinculación de cuentas donde sea factible.
   • Informa a los usuarios para que sean cautelosos ante solicitudes de verificación de email inesperadas.
   • Revisa la configuración del primer login con IdP y asegúrate de aplicar salvaguardas adicionales (p. ej., revisión manual) donde corresponda.
3. Audita los eventos recientes de login y vinculación de cuentas en busca de actividad sospechosa.

Cómo comprobar tu despliegue

• Confirma tu versión de Keycloak (Consola de Administración → Server Info, o tu etiqueta de imagen).
• Revisa los pasos de tu First Login Flow para logins con IdP, especialmente el comportamiento de "revisar perfil" y la verificación de email.
• Inspecciona los logs y los Eventos de Administración relacionados con intentos de vinculación de cuentas.

Cronología

• Aviso publicado: 29 de julio de 2025 (por rmartinc).
• Notificación y programación de parches por IDPTrust: 29-07-2025.

Referencias

• Aviso oficial: GHSA-xhpr-465j-7p9q – Phishing attack via email verification step in first login flow https://github.com/keycloak/keycloak/security/advisories/GHSA-xhpr-465j-7p9q