CVE-2026-7500
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 - wyżej niż 14% wszystkich znanych CVE
Streszczenie
Podatność w Keycloak powoduje, że wyłączenie funkcji account i account-api za pomocą flagi `--features-disabled` jest nieskuteczne. Pięć endpointów REST API na ścieżce `/account/v1alpha1` pozostaje w pełni funkcjonalnych, ponieważ brakuje w nich mechanizmu `checkAccountApiEnabled()`, który poprawnie blokuje pozostałe cztery endpointy w tej samej klasie serwisu.
Ocena ryzyka
Organizacja może nieświadomie udostępniać użytkownikom funkcje konta, które administracyjnie zostały wyłączone, co zwiększa ryzyko nieautoryzowanego dostępu do danych i operacji zapisu.
Rekomendacja
Należy zaktualizować Keycloak do wersji, w której dodano brakujące wywołania `checkAccountApiEnabled()` we wszystkich endpointach w klasie serwisu odpowiedzialnej za ścieżkę `/account/v1alpha1`.
Oryginalny opis (angielski, źródło NVD)
When Keycloak is started with `--features-disabled=account,account-api`, the Account REST API is only partially disabled. Five endpoints under the versioned path `/account/v1alpha1` remain fully functional — including both read and write operations — because they lack the `checkAccountApiEnabled()` gate that correctly blocks four other endpoints in the same REST service class. The user needs to have permissions to use the API.

