CVE-2026-8922
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 - wyżej niż 20% wszystkich znanych CVE
Streszczenie
W Keycloak wykryto błąd polegający na tym, że gdy skonfigurowane są zarówno polityki unieważniania `notBefore` na poziomie realm, jak i klienta, funkcja OIDC Introspection nie honoruje prawidłowo polityki realm. Powoduje to, że tokeny, które powinny być unieważnione, pozostają aktywne, co może prowadzić do nieautoryzowanego dostępu lub przedłużenia ważności sesji.
Ocena ryzyka
Ryzyko polega na możliwości uzyskania nieautoryzowanego dostępu do zasobów chronionych przez Keycloak, ponieważ tokeny JWT, które powinny być unieważnione na poziomie realm, są nadal akceptowane. Może to naruszyć integralność systemów zarządzania tożsamością i dostępem.
Rekomendacja
Zaleca się natychmiastową aktualizację Keycloak do wersji, w której naprawiono tę podatność. Do czasu aktualizacji należy rozważyć tymczasowe wyłączenie polityk `notBefore` na poziomie klienta lub realm, jeśli to możliwe.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak. When both realm-level and client-level `notBefore` revocation policies are configured, Keycloak's OpenID Connect (OIDC) Introspection feature fails to properly honor the realm-level policy. This allows tokens that should have been revoked to remain active, potentially leading to unauthorized access or continued session validity. This could impact the security of systems utilizing Keycloak for identity and access management.

