Katalog CVE

CVE-2026-9803

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 33 - wyżej niż 33% wszystkich znanych CVE

Streszczenie

W komponencie ClientRegistrationAuth w Keycloak wykryto podatność, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wywołanie błędu ArrayIndexOutOfBoundsException poprzez wysłanie specjalnie spreparowanego żądania POST z nieprawidłowym nagłówkiem 'Authorization: Bearer' do dowolnego punktu końcowego rejestracji klienta. Powoduje to zwrócenie przez serwer błędu HTTP 500 i prowadzi do odmowy usługi (DoS).

Ocena ryzyka

Atakujący może spowodować niedostępność usługi Keycloak, co uniemożliwi użytkownikom rejestrację klientów i może zakłócić działanie systemów zależnych od tej funkcji.

Rekomendacja

Zaleca się natychmiastowe zastosowanie poprawek dostarczonych przez producenta oraz tymczasowe ograniczenie dostępu do punktów końcowych rejestracji klienta tylko dla zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak's ClientRegistrationAuth component. A remote unauthenticated attacker can exploit this vulnerability by sending a specially crafted POST request with a malformed 'Authorization: Bearer' header to any client registration endpoint. This can lead to an ArrayIndexOutOfBoundsException, causing the server to return an HTTP 500 error and resulting in a Denial of Service (DoS) for the affected service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS