CVE-2026-9795
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
W Keycloak wykryto podatność w funkcji Fine-Grained Admin Permissions (FGAPv2). Administrator z ograniczonymi uprawnieniami do zarządzania klientami może przypisać dowolną rolę realm, w tym wysoce uprzywilejowane, do mapowania zakresu klienta. Obejście to pozwala na wstrzyknięcie roli do tokena uwierzytelniającego użytkownika.
Ocena ryzyka
Ryzyko polega na nieautoryzowanej eskalacji uprawnień w obrębie realm Keycloak, co może umożliwić atakującemu uzyskanie dostępu do zasobów i funkcji zarezerwowanych dla administratorów.
Rekomendacja
Zaleca się natychmiastową aktualizację Keycloak do wersji zawierającej poprawkę oraz przegląd i ograniczenie uprawnień administratorów klientów w konfiguracji FGAPv2.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak's Fine-Grained Admin Permissions (FGAPv2) feature. An administrator with limited client management permissions can exploit this vulnerability to assign any realm role, including highly privileged roles, to a client's scope mapping. This bypasses intended security controls, allowing the injected role to be projected into a user's authentication token when they access the modified client. This could lead to unauthorized privilege escalation within the Keycloak realm.

