Katalog CVE

CVE-2026-7500

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

Podatność w Keycloak powoduje, że wyłączenie funkcji account i account-api za pomocą flagi `--features-disabled` jest nieskuteczne. Pięć endpointów REST API na ścieżce `/account/v1alpha1` pozostaje w pełni funkcjonalnych, ponieważ brakuje w nich mechanizmu `checkAccountApiEnabled()`, który poprawnie blokuje pozostałe cztery endpointy w tej samej klasie serwisu.

Ocena ryzyka

Organizacja może nieświadomie udostępniać użytkownikom funkcje konta, które administracyjnie zostały wyłączone, co zwiększa ryzyko nieautoryzowanego dostępu do danych i operacji zapisu.

Rekomendacja

Należy zaktualizować Keycloak do wersji, w której dodano brakujące wywołania `checkAccountApiEnabled()` we wszystkich endpointach w klasie serwisu odpowiedzialnej za ścieżkę `/account/v1alpha1`.

Oryginalny opis (angielski, źródło NVD)

When Keycloak is started with `--features-disabled=account,account-api`, the Account REST API is only partially disabled. Five endpoints under the versioned path `/account/v1alpha1` remain fully functional — including both read and write operations — because they lack the `checkAccountApiEnabled()` gate that correctly blocks four other endpoints in the same REST service class. The user needs to have permissions to use the API.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS