CVE-2026-9705
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
W usłudze rejestracji klientów Keycloak wykryto lukę, która pozwala zdalnemu atakującemu z wcześniej wydanym tokenem RAT na ponowne włączenie klienta wyłączonego przez administratora. Atakujący może zresetować sekret klienta i potencjalnie odzyskać uprzywilejowany dostęp do API.
Ocena ryzyka
Ryzyko obejmuje nieautoryzowane ujawnienie informacji oraz potencjalne naruszenie integralności danych, ponieważ atakujący może ominąć kontrolę bezpieczeństwa i uzyskać dostęp do chronionych zasobów.
Rekomendacja
Zaleca się natychmiastową aktualizację Keycloak do wersji zawierającej poprawkę oraz unieważnienie wszystkich istniejących tokenów RAT po aktualizacji.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak's client registration service. A remote attacker, possessing a previously issued Registration Access Token (RAT), could exploit this vulnerability to re-enable a client that an administrator had explicitly disabled. This bypasses security controls, allowing the attacker to reset the client's secret and potentially regain privileged API access. The primary impact includes unauthorized information disclosure and potential integrity compromise.

