CVE-2026-37980
MediumCVSS 6.9Summary
W Keycloak znaleziono lukę w stronie logowania do wyboru organizacji. Zdalny atakujący z uprawnieniami `manage-realm` lub `manage-organizations` może wykorzystać podatność na przechowywane Cross-Site Scripting (XSS), co pozwala na wykonanie złośliwego kodu JavaScript w przeglądarce użytkownika.
Risk Assessment
Sukces ataku może prowadzić do kradzieży sesji, nieautoryzowanych działań na koncie lub dalszych ataków na użytkowników danej organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.
Recommendation
Zaleca się aktualizację Keycloak do najnowszej wersji, aby usunąć tę lukę oraz przegląd uprawnień administracyjnych, aby ograniczyć dostęp do wrażliwych funkcji.
Original NVD description (English source)
A flaw was found in Keycloak, specifically in the organization selection login page. A remote attacker with `manage-realm` or `manage-organizations` administrative privileges can exploit a Stored Cross-Site Scripting (XSS) vulnerability. This flaw occurs because the `organization.alias` is placed into an inline JavaScript `onclick` handler, allowing a crafted JavaScript payload to execute in a user's browser when they view the login page. Successful exploitation enables arbitrary JavaScript execution, potentially leading to session theft, unauthorized account actions, or further attacks against users of the affected realm.

