Katalog CVE

CVE-2026-14209

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

W Keycloak Admin UI wykryto podatność, która pozwala administratorom z ograniczonymi uprawnieniami na ominięcie zabezpieczeń. Gdy włączone są szczegółowe uprawnienia administracyjne (FGAPv2), administrator mający jedynie prawo wyszukiwania użytkowników może użyć endpointu 'brute-force-user', aby uzyskać pełny profil użytkownika, w tym wrażliwe dane i metadane bezpieczeństwa. Problem wynika z braku weryfikacji uprawnienia 'view' dla konkretnego użytkownika przy użyciu tej ścieżki wyszukiwania.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych danych użytkowników oraz metadanych bezpieczeństwa, co może prowadzić do naruszenia poufności i eskalacji uprawnień przez nieautoryzowanych administratorów.

Rekomendacja

Należy natychmiast zaktualizować Keycloak do wersji zawierającej poprawkę oraz przejrzeć konfigurację uprawnień FGAPv2, aby upewnić się, że endpoint 'brute-force-user' wymaga odpowiedniego uprawnienia 'view'.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was discovered in Keycloak's Admin UI extension that allows certain administrative users to bypass security restrictions. When Fine-Grained Admin Permissions (FGAPv2) are enabled, an administrator who should only be able to search for users (but not view their full details) can use a specific "brute-force-user" endpoint to access a user's full profile. This includes sensitive information and security metadata. The issue occurs because the system fails to check if the administrator has the required "view" permission for that specific user when using this particular search path.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS