CVE-2026-9802
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
W Keycloak wykryto podatność, która przy włączonej opcji revokeRefreshToken=true i użyciu trwałego przechowywania sesji, umożliwia atakującemu ponowne użycie unieważnionego tokena odświeżania po restarcie serwera. Atakujący, który wcześniej przechwycił token odświeżania ofiary, może uzyskać nieautoryzowany dostęp do jej konta.
Ocena ryzyka
Ryzyko obejmuje nieautoryzowany dostęp do konta użytkownika, co może prowadzić do ujawnienia poufnych informacji lub eskalacji uprawnień w systemie.
Rekomendacja
Zaleca się aktualizację Keycloak do wersji, w której podatność została naprawiona, oraz tymczasowe wyłączenie opcji revokeRefreshToken=true, jeśli nie jest wymagana.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak. When revokeRefreshToken=true is enabled and persistent session storage is in use, a server restart can reset internal timing mechanisms. This allows a remote attacker, who has previously captured a user's refresh token, to replay that token even after it has been revoked. Successful exploitation grants the attacker unauthorized access to the victim's account, potentially leading to information disclosure or privilege escalation.

