Katalog CVE

CVE-2026-14613

ŚrednieCVSS 4.3
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W interfejsie administracyjnym Keycloak wykryto podatność, która umożliwia administratorom z ograniczonymi uprawnieniami podgląd informacji o grupach, do których nie powinni mieć dostępu. Gdy włączone są nowe szczegółowe uprawnienia administracyjne (FGAP v2), administrator widzący konkretną rolę może również zobaczyć listę wszystkich grup przypisanych do tej roli, bez weryfikacji uprawnień do tych grup.

Ocena ryzyka

Ryzyko polega na możliwości ujawnienia ukrytych grup oraz ich szczegółów, takich jak nazwy wewnętrzne i ustawienia niestandardowe, które mogą zawierać wrażliwe informacje o wdrożeniu. Może to prowadzić do naruszenia poufności i eskalacji uprawnień w organizacji.

Rekomendacja

Należy natychmiast zaktualizować Keycloak do wersji, w której usunięto tę podatność. Do czasu aktualizacji zaleca się wyłączenie funkcji FGAP v2, jeśli nie jest krytycznie wymagana, oraz ograniczenie dostępu do interfejsu administracyjnego.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was discovered in Keycloak's administrative interface that allows certain administrators to see information about groups they shouldn't have access to. When the new Fine-Grained Admin Permissions (FGAP v2) are turned on, an administrator who is allowed to see a specific "role" can also see a list of all groups assigned to that role. The system fails to check if the administrator has permission to see those specific groups. This could allow a restricted administrator to discover "hidden" groups and see their details, such as internal names and custom settings, which might contain sensitive deployment information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS