Katalog CVE

CVE-2026-9792

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 - wyżej niż 18% wszystkich znanych CVE

Streszczenie

W Keycloak wykryto podatność w politykach klienta (Client Policies) w komponencie `org.keycloak.protocol.oidc`. Gdy używane są określone dostawcy warunków (client-type, client-roles, client-attributes, client-scopes) do egzekwowania ograniczeń bezpieczeństwa, executor `reject-ropc-grant` jest cicho pomijany. Pozwala to nieuwierzytelnionemu zdalnemu atakującemu uzyskać tokeny poprzez grant Resource Owner Password Credentials (ROPC), nawet gdy polityka wyraźnie blokuje takie działanie.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do zasobów i ujawnienia informacji, ponieważ atakujący może ominąć politykę blokującą ROPC i uzyskać tokeny dostępu.

Rekomendacja

Zaleca się natychmiastową aktualizację Keycloak do wersji, w której podatność została załatana, oraz tymczasowe unikanie używania wymienionych dostawców warunków w politykach klienta, jeśli to możliwe.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak's Client Policies, specifically within the `org.keycloak.protocol.oidc` component. When certain condition providers (client-type, client-roles, client-attributes, client-scopes) are used to enforce security restrictions, the `reject-ropc-grant` executor is silently bypassed. This allows an unauthenticated remote attacker to obtain tokens via a Resource Owner Password Credentials (ROPC) grant, even when a policy is explicitly configured to block it. This bypass can lead to unauthorized access and information disclosure.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS