CVE-2026-37978
ŚrednieCVSS 4.9Streszczenie
W Keycloak znaleziono lukę, która pozwala administratorowi o niskich uprawnieniach z rolą 'view-clients' na wykorzystanie punktów końcowych API Admin 'evaluate-scopes' z dowolnym identyfikatorem użytkownika. Ta podatność umożliwia wyciek danych osobowych (PII) między rolami, co pozwala na nieautoryzowany dostęp do tożsamości użytkowników i ich uprawnień.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego ujawnienia danych osobowych użytkowników, co może prowadzić do naruszenia prywatności i utraty zaufania do systemu. Wyciek informacji o tożsamości i uprawnieniach użytkowników może również skutkować dalszymi atakami na system.
Rekomendacja
Zaleca się ograniczenie dostępu do punktów końcowych API Admin oraz przegląd ról i uprawnień administratorów, aby zminimalizować ryzyko wykorzystania tej luki. Należy również monitorować logi dostępu w celu wykrycia potencjalnych prób nadużyć.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak. A low-privilege administrator with the 'view-clients' role can exploit this by invoking the 'evaluate-scopes' Admin API endpoints with an arbitrary user ID (userId) parameter. This vulnerability allows for cross-role personally identifiable information (PII) leakage, enabling unauthorized visibility into user identities and authorizations across the realm. Exploitation is possible remotely via network access to the Admin API.

