CVE-2026-9798
ŚrednieCVSS 4.3Streszczenie
W Keycloak, rozwiązaniu do zarządzania tożsamością i dostępem, znaleziono lukę. Atakujący z ważnymi poświadczeniami klienta może wykorzystać przepływ CIBA, aby obejść ochronę przed atakami typu brute-force, gdy konto użytkownika jest tymczasowo zablokowane z powodu wielokrotnych nieudanych prób logowania.
Ocena ryzyka
Luka ta pozwala na kontynuowanie prób uwierzytelnienia oraz wydawanie tokenów, nawet gdy konto powinno być zablokowane, co może prowadzić do dalszych nieautoryzowanych prób dostępu.
Rekomendacja
Zaleca się monitorowanie i ograniczenie dostępu do przepływu CIBA oraz wdrożenie dodatkowych mechanizmów ochrony przed atakami brute-force, aby zabezpieczyć konta użytkowników.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak, an open-source identity and access management solution. When a user account is temporarily locked due to repeated failed login attempts, an attacker with valid client credentials can exploit the Client-Initiated Backchannel Authentication (CIBA) flow to bypass this brute-force protection. This allows continued authentication attempts and token issuance even when the account should be locked, potentially enabling further unauthorized access attempts.

