CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-9689

MediumCVSS 4.2
Published: Updated: Translated: NVD NIST

Summary

W Keycloak, rozwiązaniu do zarządzania tożsamością i dostępem, znaleziono lukę. Gdy aplikacja kliencka jest skonfigurowana do akceptacji szerokich identyfikatorów URI, zdalny atakujący może manipulować procesem uwierzytelniania, tworząc specjalny adres internetowy.

Risk Assessment

Luka ta, znana jako zanieczyszczenie parametrów HTTP, może pozwolić atakującemu na obejście zabezpieczeń lub uzyskanie nieautoryzowanego dostępu do zasobów, co stwarza poważne zagrożenie dla organizacji.

Recommendation

Zaleca się ograniczenie akceptowanych identyfikatorów URI w aplikacjach klienckich oraz wdrożenie dodatkowych mechanizmów weryfikacji danych, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

A flaw was found in Keycloak, an open-source identity and access management solution. When a client application is configured to accept broad redirect Uniform Resource Identifiers (URIs), a remote attacker can manipulate the authentication process by crafting a special web address. If a user clicks this link, the client application might incorrectly prioritize attacker-controlled information over legitimate data. This vulnerability, known as HTTP parameter pollution, could allow an attacker to bypass security measures or gain unauthorized access to resources.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS