Katalog CVE

CVE-2026-37978

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Keycloak znaleziono lukę, która pozwala administratorowi o niskich uprawnieniach z rolą 'view-clients' na wykorzystanie punktów końcowych API Admin 'evaluate-scopes' z dowolnym identyfikatorem użytkownika. Ta podatność umożliwia wyciek danych osobowych (PII) między rolami, co pozwala na nieautoryzowany dostęp do tożsamości użytkowników i ich uprawnień.

Ocena ryzyka

Organizacja narażona jest na ryzyko nieautoryzowanego ujawnienia danych osobowych użytkowników, co może prowadzić do naruszenia prywatności i utraty zaufania do systemu. Wyciek informacji o tożsamości i uprawnieniach użytkowników może również skutkować dalszymi atakami na system.

Rekomendacja

Zaleca się ograniczenie dostępu do punktów końcowych API Admin oraz przegląd ról i uprawnień administratorów, aby zminimalizować ryzyko wykorzystania tej luki. Należy również monitorować logi dostępu w celu wykrycia potencjalnych prób nadużyć.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak. A low-privilege administrator with the 'view-clients' role can exploit this by invoking the 'evaluate-scopes' Admin API endpoints with an arbitrary user ID (userId) parameter. This vulnerability allows for cross-role personally identifiable information (PII) leakage, enabling unauthorized visibility into user identities and authorizations across the realm. Exploitation is possible remotely via network access to the Admin API.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS