CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-37980

MediumCVSS 6.9
Published: Updated: Translated: NVD NIST

Summary

W Keycloak znaleziono lukę w stronie logowania do wyboru organizacji. Zdalny atakujący z uprawnieniami `manage-realm` lub `manage-organizations` może wykorzystać podatność na przechowywane Cross-Site Scripting (XSS), co pozwala na wykonanie złośliwego kodu JavaScript w przeglądarce użytkownika.

Risk Assessment

Sukces ataku może prowadzić do kradzieży sesji, nieautoryzowanych działań na koncie lub dalszych ataków na użytkowników danej organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.

Recommendation

Zaleca się aktualizację Keycloak do najnowszej wersji, aby usunąć tę lukę oraz przegląd uprawnień administracyjnych, aby ograniczyć dostęp do wrażliwych funkcji.

Original NVD description (English source)

A flaw was found in Keycloak, specifically in the organization selection login page. A remote attacker with `manage-realm` or `manage-organizations` administrative privileges can exploit a Stored Cross-Site Scripting (XSS) vulnerability. This flaw occurs because the `organization.alias` is placed into an inline JavaScript `onclick` handler, allowing a crafted JavaScript payload to execute in a user's browser when they view the login page. Successful exploitation enables arbitrary JavaScript execution, potentially leading to session theft, unauthorized account actions, or further attacks against users of the affected realm.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS