Katalog CVE

CVE-2026-9099

WysokieCVSS 7.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

W Keycloak wykryto brak autoryzacji w punkcie końcowym GroupResource.addChild() w Admin REST API. Uwierzytelniony użytkownik z ograniczonymi uprawnieniami administracyjnymi może przepiąć dowolną istniejącą grupę, co przy włączonej funkcji FGAPv2 umożliwia atakującemu przejęcie grupy z wysokimi uprawnieniami.

Ocena ryzyka

Atakujący może uzyskać nieautoryzowany dostęp do zarządzania i resetowania haseł członków uprzywilejowanej grupy, co może prowadzić do przejęcia konta administratora i pełnego przejęcia realm, skutkując utratą poufności, integralności i dostępności.

Rekomendacja

Należy natychmiast zaktualizować Keycloak do wersji zawierającej poprawkę dla CVE-2026-9099 oraz przejrzeć konfigurację uprawnień FGAPv2, aby ograniczyć możliwość przepinania grup.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak. A missing authorization check in the GroupResource.addChild() endpoint within the Admin REST API allows an authenticated user with limited administrative privileges to reparent any existing group. When Fine-Grained Admin Permissions v2 (FGAPv2) is enabled, an attacker with management rights over a single low-privilege group can reparent a highly privileged group (such as one possessing the realm-admin role) under their managed group. Because group permissions follow a hierarchical structure, this action unauthorizedly grants the attacker management and password-reset capabilities over the members of the targeted privileged group. An attacker can exploit this to reset an administrator's password, compromise the account, and achieve a full realm takeover, leading to a complete compromise of confidentiality, integrity, and availability.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS