CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-2575

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Summary

W Keycloak znaleziono lukę, która pozwala nieautoryzowanemu zdalnemu atakującemu wywołać atak typu Denial of Service (DoS) na poziomie aplikacji. Atakujący może to osiągnąć, wysyłając mocno skompresowane żądanie SAML przez SAML Redirect Binding, co prowadzi do błędu OutOfMemoryError (OOM) i zakończenia procesu.

Risk Assessment

Luka ta może prowadzić do zakłócenia dostępności usługi, co może negatywnie wpłynąć na operacje organizacji i zaufanie użytkowników.

Recommendation

Zaleca się monitorowanie i ograniczenie rozmiaru żądań SAML oraz aktualizację Keycloak do najnowszej wersji, aby zminimalizować ryzyko wystąpienia tej podatności.

Original NVD description (English source)

A flaw was found in Keycloak. An unauthenticated remote attacker can trigger an application level Denial of Service (DoS) by sending a highly compressed SAMLRequest through the SAML Redirect Binding. The server fails to enforce size limits during DEFLATE decompression, leading to an OutOfMemoryError (OOM) and subsequent process termination. This vulnerability allows an attacker to disrupt the availability of the service.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS