CVE-2026-9801
ŚrednieCVSS 4.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 - wyżej niż 38% wszystkich znanych CVE
Streszczenie
W Keycloak wykryto podatność umożliwiającą atakującemu z wysokimi uprawnieniami (np. administratorowi domeny konfigurującemu złośliwy serwer LDAP lub osobie atakującej kompromitującej nadrzędny serwer LDAP) wywołanie błędu OutOfMemoryError poprzez wysłanie nieprawidłowej odpowiedzi polityki haseł LDAP podczas żądania uwierzytelnienia. Prowadzi to do zatrzymania maszyny wirtualnej Java (JVM) Keycloak i odmowy usługi (DoS) dla wszystkich domen na zaatakowanym węźle.
Ocena ryzyka
Ryzyko polega na całkowitym zatrzymaniu usługi Keycloak dla wszystkich domen na danym węźle, co uniemożliwia uwierzytelnianie i zarządzanie tożsamością, powodując poważną przerwę w działaniu aplikacji korzystających z tego systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację Keycloak do wersji zawierającej poprawkę oraz ograniczenie zaufania do konfigurowanych serwerów LDAP wyłącznie do zaufanych źródeł. Należy również monitorować logi pod kątem nietypowych błędów pamięci.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak. A remote attacker with high privileges, such as a realm administrator configuring a malicious Lightweight Directory Access Protocol (LDAP) server or an attacker compromising an upstream LDAP server, could exploit this vulnerability. By sending a malformed LDAP password policy response during a password authentication request, the attacker can trigger an OutOfMemoryError. This causes the Keycloak Java Virtual Machine (JVM) to terminate, leading to a denial of service (DoS) for all realms on the affected node.

