Katalog CVE

CVE-2026-8830

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 31 - wyżej niż 31% wszystkich znanych CVE

Streszczenie

W Keycloak znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi ominąć skonfigurowane polityki WebAuthn podczas rejestracji poświadczeń poprzez manipulację kodem JavaScript po stronie klienta. Dzieje się tak, ponieważ serwerowa metoda processAction() nie weryfikuje, czy parametry nowo utworzonego poświadczenia, takie jak algorytmy klucza publicznego, są zgodne z politykami WebAuthn zdefiniowanymi dla domeny.

Ocena ryzyka

Luka umożliwia tworzenie poświadczeń niezgodnych z wymaganiami bezpieczeństwa administracyjnego, co może osłabić ogólne bezpieczeństwo systemu poprzez dopuszczenie niekompatybilnych metod uwierzytelniania.

Rekomendacja

Zaleca się natychmiastową aktualizację Keycloak do wersji, w której poprawiono walidację parametrów poświadczeń WebAuthn w metodzie processAction().

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak. An authenticated user can bypass configured WebAuthn policies during credential registration by manipulating client-side JavaScript. This occurs because the server-side processAction() fails to validate that the newly created credential's parameters, such as public key algorithms, match the realm's configured WebAuthn policies. This could lead to the creation of credentials that do not adhere to administrative security requirements, potentially weakening the overall security posture of the system by allowing non-compliant authentication methods.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS