CVE-2026-37982
MediumCVSS 6.8Summary
W Keycloak odkryto lukę w uwierzytelnianiu, która pozwala zdalnemu atakującemu na ponowne wykorzystanie tokenów `ExecuteActionsActionToken` w procesie WebAuthn. Atakujący, przechwytując link e-mailowy do wykonania akcji, może zarejestrować własny uwierzytelniający w koncie ofiary.
Risk Assessment
Luka ta prowadzi do nieautoryzowanego dodania sprzętowego poświadczenia, co umożliwia trwałe przejęcie konta użytkownika. Organizacje mogą być narażone na poważne incydenty związane z bezpieczeństwem danych.
Recommendation
Zaleca się aktualizację Keycloak do najnowszej wersji, aby załatać tę lukę oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie aktywności kont użytkowników.
Original NVD description (English source)
A flaw was found in Keycloak. This authentication vulnerability allows a remote attacker to replay `ExecuteActionsActionToken` tokens within Keycloak's WebAuthn (Web Authentication) flow. By intercepting an execute-actions email link, an attacker can register their own authenticator to a victim's account. This leads to unauthorized enrollment of a hardware-backed credential, enabling persistent account takeover.

