Katalog CVE

CVE-2026-9087

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 - wyżej niż 23% wszystkich znanych CVE

Streszczenie

W Keycloak znaleziono lukę, w której dowód weryfikacji między sesjami jest kluczowany wyłącznie przez (lokalny identyfikator użytkownika, alias dostawcy tożsamości) i nie jest powiązany z faktycznie zweryfikowanym kontem nadrzędnym. Umożliwia to drugiemu kontu nadrzędnemu na tym samym dostawcy tożsamości wykorzystanie tego dowodu i powiązanie go z lokalnym kontem ofiary.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego przejęcia konta lokalnego przez atakującego, który posiada inne konto u tego samego dostawcy tożsamości, co może prowadzić do naruszenia poufności i integralności danych użytkownika.

Rekomendacja

Zaleca się natychmiastową aktualizację Keycloak do wersji, w której usunięto tę lukę, oraz wdrożenie mechanizmów wiążących dowód weryfikacji z konkretnym kontem nadrzędnym.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak. The cross-session verification proof is keyed only by (local userId, idpAlias) and is not bound to the upstream identity that was actually verified, so a second upstream account on the same IdP can consume it and get linked to the victim's local account.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS