CVE-2026-9088
NiskieCVSS 2.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 — wyżej niż 27% wszystkich znanych CVE
Streszczenie
W Keycloak wykryto podatność, w której administrator z delegowanym dostępem do odczytu członkostwa w grupach i użytkowników może ominąć uprawnienia profilu użytkownika, uzyskując dostęp do punktu końcowego członków grupy. Pozwala to na wyświetlenie atrybutów użytkownika, które są jawnie skonfigurowane jako zabronione, co prowadzi do ujawnienia informacji.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym ujawnieniu wrażliwych atrybutów użytkowników, co może naruszyć poufność danych i zasady kontroli dostępu w organizacji.
Rekomendacja
Zaleca się natychmiastową aktualizację Keycloak do wersji, w której usunięto tę podatność, oraz przegląd konfiguracji uprawnień dostępu delegowanego dla administratorów.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in org.keycloak.services. An administrator with delegated access to read group memberships and users can bypass user profile permissions by accessing the group members endpoint. This allows the administrator to view user attributes that are explicitly configured to be denied, leading to information disclosure.

