Katalog CVE

CVE-2026-9791

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

W Keycloak wykryto podatność, która umożliwia uwierzytelnionemu użytkownikowi z członkostwem w organizacji ujawnienie metadanych organizacji w tokenach OIDC lub poprzez API konta, nawet po wyłączeniu funkcji Organizacji przez administratora. Może to prowadzić do błędnych decyzji autoryzacyjnych na serwerach zasobów.

Ocena ryzyka

Ryzyko polega na tym, że administratorzy mogą błędnie zakładać, że wyłączenie funkcji Organizacji całkowicie usuwa informacje o organizacjach z tokenów, co może skutkować nieprawidłowym przyznawaniem dostępu do zasobów.

Rekomendacja

Zaleca się natychmiastową aktualizację Keycloak do wersji, w której usunięto tę podatność, oraz weryfikację konfiguracji zakresów OIDC i API konta pod kątem niepożądanego ujawniania danych organizacji.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak. An authenticated user with existing organization membership can exploit this flaw by accessing user-facing APIs, such as the account API or by requesting an OpenID Connect (OIDC) token with the 'organization' scope. This allows organization metadata to be disclosed in tokens, even after an administrator has explicitly disabled the Organizations feature, potentially leading to incorrect authorization decisions by resource servers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS