Katalog CVE

CVE-2026-9083

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.50%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

W Keycloak wykryto podatność, w której administrator realm z rolą 'manage-realm' może podać dowolną ścieżkę systemu plików jako parametr keystore podczas tworzenia komponentu dostawcy kluczy. Umożliwia to sprawdzenie, które pliki istnieją i są odczytywalne przez proces Keycloak.

Ocena ryzyka

Ryzyko polega na ujawnieniu informacji o istniejących plikach w systemie, co może pomóc atakującemu w identyfikacji wartościowych celów do dalszych ataków, takich jak pliki konfiguracyjne lub dane uwierzytelniające.

Rekomendacja

Zaleca się natychmiastową aktualizację Keycloak do wersji, w której usunięto tę podatność, oraz ograniczenie dostępu do roli 'manage-realm' tylko do zaufanych administratorów.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak. A realm administrator with the "manage-realm" role can exploit this vulnerability by submitting an arbitrary filesystem path as a keystore parameter when creating a key provider component. This allows the administrator to probe arbitrary filesystem paths, determining which files exist and are readable by the Keycloak process. This information disclosure could be used to identify high-value targets for follow-on attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS