Katalog CVE

CVE-2026-37980

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Keycloak znaleziono lukę w stronie logowania do wyboru organizacji. Zdalny atakujący z uprawnieniami `manage-realm` lub `manage-organizations` może wykorzystać podatność na przechowywane Cross-Site Scripting (XSS), co pozwala na wykonanie złośliwego kodu JavaScript w przeglądarce użytkownika.

Ocena ryzyka

Sukces ataku może prowadzić do kradzieży sesji, nieautoryzowanych działań na koncie lub dalszych ataków na użytkowników danej organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację Keycloak do najnowszej wersji, aby usunąć tę lukę oraz przegląd uprawnień administracyjnych, aby ograniczyć dostęp do wrażliwych funkcji.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak, specifically in the organization selection login page. A remote attacker with `manage-realm` or `manage-organizations` administrative privileges can exploit a Stored Cross-Site Scripting (XSS) vulnerability. This flaw occurs because the `organization.alias` is placed into an inline JavaScript `onclick` handler, allowing a crafted JavaScript payload to execute in a user's browser when they view the login page. Successful exploitation enables arbitrary JavaScript execution, potentially leading to session theft, unauthorized account actions, or further attacks against users of the affected realm.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS