Katalog CVE

CVE-2026-9802

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 - wyżej niż 22% wszystkich znanych CVE

Streszczenie

W Keycloak wykryto podatność, która przy włączonej opcji revokeRefreshToken=true i użyciu trwałego przechowywania sesji, umożliwia atakującemu ponowne użycie unieważnionego tokena odświeżania po restarcie serwera. Atakujący, który wcześniej przechwycił token odświeżania ofiary, może uzyskać nieautoryzowany dostęp do jej konta.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowany dostęp do konta użytkownika, co może prowadzić do ujawnienia poufnych informacji lub eskalacji uprawnień w systemie.

Rekomendacja

Zaleca się aktualizację Keycloak do wersji, w której podatność została naprawiona, oraz tymczasowe wyłączenie opcji revokeRefreshToken=true, jeśli nie jest wymagana.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak. When revokeRefreshToken=true is enabled and persistent session storage is in use, a server restart can reset internal timing mechanisms. This allows a remote attacker, who has previously captured a user's refresh token, to replay that token even after it has been revoked. Successful exploitation grants the attacker unauthorized access to the victim's account, potentially leading to information disclosure or privilege escalation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS