CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-37978

MediumCVSS 4.9
Published: Updated: Translated: NVD NIST

Summary

W Keycloak znaleziono lukę, która pozwala administratorowi o niskich uprawnieniach z rolą 'view-clients' na wykorzystanie punktów końcowych API Admin 'evaluate-scopes' z dowolnym identyfikatorem użytkownika. Ta podatność umożliwia wyciek danych osobowych (PII) między rolami, co pozwala na nieautoryzowany dostęp do tożsamości użytkowników i ich uprawnień.

Risk Assessment

Organizacja narażona jest na ryzyko nieautoryzowanego ujawnienia danych osobowych użytkowników, co może prowadzić do naruszenia prywatności i utraty zaufania do systemu. Wyciek informacji o tożsamości i uprawnieniach użytkowników może również skutkować dalszymi atakami na system.

Recommendation

Zaleca się ograniczenie dostępu do punktów końcowych API Admin oraz przegląd ról i uprawnień administratorów, aby zminimalizować ryzyko wykorzystania tej luki. Należy również monitorować logi dostępu w celu wykrycia potencjalnych prób nadużyć.

Original NVD description (English source)

A flaw was found in Keycloak. A low-privilege administrator with the 'view-clients' role can exploit this by invoking the 'evaluate-scopes' Admin API endpoints with an arbitrary user ID (userId) parameter. This vulnerability allows for cross-role personally identifiable information (PII) leakage, enabling unauthorized visibility into user identities and authorizations across the realm. Exploitation is possible remotely via network access to the Admin API.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS