CVE-2026-46389
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
W wersjach 0.11.0 do 0.26.0 występuje błąd logiczny w uwierzytelnianiu klienta `client-kubernetes-secret` w Keycloak, co pozwala atakującemu na nadpisanie `client_secret` z zamontowanego sekretu Kubernetes. To umożliwia uwierzytelnienie się jako dany klient z dowolną wartością `client_secret` i uzyskanie tokenów OAuth2.
Ocena ryzyka
Atakujący, który ma dostęp do punktu końcowego tokenów Keycloak i zna `client_id`, może uzyskać dostęp do zasobów klienta, co może prowadzić do nieautoryzowanych zmian w konfiguracji innych klientów.
Rekomendacja
Zaleca się aktualizację do wersji 0.26.1, która naprawia ten problem. Należy również monitorować dostęp do punktu końcowego tokenów Keycloak oraz weryfikować użycie `client_secret`.
Oryginalny opis (angielski, źródło NVD)
UDS Identity Config builds the Keycloak configuration image (realm, plugins, theme, truststore, JARs) consumed by UDS Core's Identity deployment. In versions 0.11.0 through 0.26.0, a logic error in the `client-kubernetes-secret` Keycloak client authenticator (shipped by `uds-identity-config` and consumed by UDS Core) causes the submitted `client_secret` to be overwritten with the mounted Kubernetes secret before comparison. An attacker who can reach the Keycloak token endpoint and knows a `client_id` using this authenticator can authenticate as that client with any `client_secret` value and obtain OAuth2 tokens scoped to the client's service account. In the case of the `uds-operator` client this token can be used to registry/modify other clients. Version 0.26.1 patches the issue.

