Katalog CVE

CVE-2026-14614

ŚrednieCVSS 5.4
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Keycloak, w komponencie ClientResource usług administracyjnych, po włączeniu FGAP v2, delegowany administrator może dodawać lub usuwać ukryte zakresy klientów, do których nie ma uprawnień. Pozwala to na wstrzyknięcie nieautoryzowanych danych lub uprawnień do tokenów bezpieczeństwa użytkowników końcowych.

Ocena ryzyka

Organizacja narażona jest na eskalację uprawnień przez delegowanego administratora, który może modyfikować zakresy klientów, co prowadzi do nadania wyższego poziomu dostępu w aplikacjach niż zamierzono.

Rekomendacja

Należy natychmiast zaktualizować Keycloak do wersji zawierającej poprawkę dla CVE-2026-14614 oraz przejrzeć konfigurację FGAP v2, aby ograniczyć uprawnienia delegowanych administratorów.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the ClientResource component of Keycloak's admin services when Fine-Grained Admin Permissions (FGAP) v2 is enabled. This issue allows a delegated administrator, who should only have limited control over specific clients, to attach or remove hidden client scopes that they are not authorized to see or manage. As a result, an attacker could inject unauthorized data or permissions into the security tokens issued to end-users, potentially tricking other applications into granting higher levels of access than intended.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS