CVE-2026-8830
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 - wyżej niż 31% wszystkich znanych CVE
Streszczenie
W Keycloak znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi ominąć skonfigurowane polityki WebAuthn podczas rejestracji poświadczeń poprzez manipulację kodem JavaScript po stronie klienta. Dzieje się tak, ponieważ serwerowa metoda processAction() nie weryfikuje, czy parametry nowo utworzonego poświadczenia, takie jak algorytmy klucza publicznego, są zgodne z politykami WebAuthn zdefiniowanymi dla domeny.
Ocena ryzyka
Luka umożliwia tworzenie poświadczeń niezgodnych z wymaganiami bezpieczeństwa administracyjnego, co może osłabić ogólne bezpieczeństwo systemu poprzez dopuszczenie niekompatybilnych metod uwierzytelniania.
Rekomendacja
Zaleca się natychmiastową aktualizację Keycloak do wersji, w której poprawiono walidację parametrów poświadczeń WebAuthn w metodzie processAction().
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak. An authenticated user can bypass configured WebAuthn policies during credential registration by manipulating client-side JavaScript. This occurs because the server-side processAction() fails to validate that the newly created credential's parameters, such as public key algorithms, match the realm's configured WebAuthn policies. This could lead to the creation of credentials that do not adhere to administrative security requirements, potentially weakening the overall security posture of the system by allowing non-compliant authentication methods.

