CVE-2026-9087
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
W Keycloak znaleziono lukę, w której dowód weryfikacji między sesjami jest kluczowany wyłącznie przez (lokalny identyfikator użytkownika, alias dostawcy tożsamości) i nie jest powiązany z faktycznie zweryfikowanym kontem nadrzędnym. Umożliwia to drugiemu kontu nadrzędnemu na tym samym dostawcy tożsamości wykorzystanie tego dowodu i powiązanie go z lokalnym kontem ofiary.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego przejęcia konta lokalnego przez atakującego, który posiada inne konto u tego samego dostawcy tożsamości, co może prowadzić do naruszenia poufności i integralności danych użytkownika.
Rekomendacja
Zaleca się natychmiastową aktualizację Keycloak do wersji, w której usunięto tę lukę, oraz wdrożenie mechanizmów wiążących dowód weryfikacji z konkretnym kontem nadrzędnym.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak. The cross-session verification proof is keyed only by (local userId, idpAlias) and is not bound to the upstream identity that was actually verified, so a second upstream account on the same IdP can consume it and get linked to the victim's local account.

