CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-9798

MediumCVSS 4.3
Published: Updated: Translated: NVD NIST

Summary

W Keycloak, rozwiązaniu do zarządzania tożsamością i dostępem, znaleziono lukę. Atakujący z ważnymi poświadczeniami klienta może wykorzystać przepływ CIBA, aby obejść ochronę przed atakami typu brute-force, gdy konto użytkownika jest tymczasowo zablokowane z powodu wielokrotnych nieudanych prób logowania.

Risk Assessment

Luka ta pozwala na kontynuowanie prób uwierzytelnienia oraz wydawanie tokenów, nawet gdy konto powinno być zablokowane, co może prowadzić do dalszych nieautoryzowanych prób dostępu.

Recommendation

Zaleca się monitorowanie i ograniczenie dostępu do przepływu CIBA oraz wdrożenie dodatkowych mechanizmów ochrony przed atakami brute-force, aby zabezpieczyć konta użytkowników.

Original NVD description (English source)

A flaw was found in Keycloak, an open-source identity and access management solution. When a user account is temporarily locked due to repeated failed login attempts, an attacker with valid client credentials can exploit the Client-Initiated Backchannel Authentication (CIBA) flow to bypass this brute-force protection. This allows continued authentication attempts and token issuance even when the account should be locked, potentially enabling further unauthorized access attempts.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS