CVE-2026-9792
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
W Keycloak wykryto podatność w politykach klienta (Client Policies) w komponencie `org.keycloak.protocol.oidc`. Gdy używane są określone dostawcy warunków (client-type, client-roles, client-attributes, client-scopes) do egzekwowania ograniczeń bezpieczeństwa, executor `reject-ropc-grant` jest cicho pomijany. Pozwala to nieuwierzytelnionemu zdalnemu atakującemu uzyskać tokeny poprzez grant Resource Owner Password Credentials (ROPC), nawet gdy polityka wyraźnie blokuje takie działanie.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do zasobów i ujawnienia informacji, ponieważ atakujący może ominąć politykę blokującą ROPC i uzyskać tokeny dostępu.
Rekomendacja
Zaleca się natychmiastową aktualizację Keycloak do wersji, w której podatność została załatana, oraz tymczasowe unikanie używania wymienionych dostawców warunków w politykach klienta, jeśli to możliwe.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak's Client Policies, specifically within the `org.keycloak.protocol.oidc` component. When certain condition providers (client-type, client-roles, client-attributes, client-scopes) are used to enforce security restrictions, the `reject-ropc-grant` executor is silently bypassed. This allows an unauthenticated remote attacker to obtain tokens via a Resource Owner Password Credentials (ROPC) grant, even when a policy is explicitly configured to block it. This bypass can lead to unauthorized access and information disclosure.

