Katalog CVE

CVE-2026-46389

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 — wyżej niż 25% wszystkich znanych CVE

Streszczenie

W wersjach 0.11.0 do 0.26.0 występuje błąd logiczny w uwierzytelnianiu klienta `client-kubernetes-secret` w Keycloak, co pozwala atakującemu na nadpisanie `client_secret` z zamontowanego sekretu Kubernetes. To umożliwia uwierzytelnienie się jako dany klient z dowolną wartością `client_secret` i uzyskanie tokenów OAuth2.

Ocena ryzyka

Atakujący, który ma dostęp do punktu końcowego tokenów Keycloak i zna `client_id`, może uzyskać dostęp do zasobów klienta, co może prowadzić do nieautoryzowanych zmian w konfiguracji innych klientów.

Rekomendacja

Zaleca się aktualizację do wersji 0.26.1, która naprawia ten problem. Należy również monitorować dostęp do punktu końcowego tokenów Keycloak oraz weryfikować użycie `client_secret`.

Oryginalny opis (angielski, źródło NVD)

UDS Identity Config builds the Keycloak configuration image (realm, plugins, theme, truststore, JARs) consumed by UDS Core's Identity deployment. In versions 0.11.0 through 0.26.0, a logic error in the `client-kubernetes-secret` Keycloak client authenticator (shipped by `uds-identity-config` and consumed by UDS Core) causes the submitted `client_secret` to be overwritten with the mounted Kubernetes secret before comparison. An attacker who can reach the Keycloak token endpoint and knows a `client_id` using this authenticator can authenticate as that client with any `client_secret` value and obtain OAuth2 tokens scoped to the client's service account. In the case of the `uds-operator` client this token can be used to registry/modify other clients. Version 0.26.1 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS