CVE-2026-9791
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
W Keycloak wykryto podatność, która umożliwia uwierzytelnionemu użytkownikowi z członkostwem w organizacji ujawnienie metadanych organizacji w tokenach OIDC lub poprzez API konta, nawet po wyłączeniu funkcji Organizacji przez administratora. Może to prowadzić do błędnych decyzji autoryzacyjnych na serwerach zasobów.
Ocena ryzyka
Ryzyko polega na tym, że administratorzy mogą błędnie zakładać, że wyłączenie funkcji Organizacji całkowicie usuwa informacje o organizacjach z tokenów, co może skutkować nieprawidłowym przyznawaniem dostępu do zasobów.
Rekomendacja
Zaleca się natychmiastową aktualizację Keycloak do wersji, w której usunięto tę podatność, oraz weryfikację konfiguracji zakresów OIDC i API konta pod kątem niepożądanego ujawniania danych organizacji.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak. An authenticated user with existing organization membership can exploit this flaw by accessing user-facing APIs, such as the account API or by requesting an OpenID Connect (OIDC) token with the 'organization' scope. This allows organization metadata to be disclosed in tokens, even after an administrator has explicitly disabled the Organizations feature, potentially leading to incorrect authorization decisions by resource servers.

