Katalog CVE

CVE-2026-12388

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

W komponencie mapowania dostawcy tożsamości (IdP) w Keycloak wykryto podatność, która pozwala administratorowi z ograniczonymi uprawnieniami na przypisanie sobie lub innym użytkownikom wysokopoziomowych ról administracyjnych (np. realm-admin) poprzez utworzenie mapowania „Hardcoded Role”. Umożliwia to ominięcie kontroli bezpieczeństwa i przejęcie pełnej kontroli nad całym realmem.

Ocena ryzyka

Ryzyko polega na eskalacji uprawnień przez nieautoryzowanego administratora, co może prowadzić do całkowitego przejęcia zarządzania realmem Keycloak, naruszenia poufności i integralności danych oraz zakłócenia działania usług uwierzytelniania.

Rekomendacja

Należy natychmiast zaktualizować Keycloak do wersji zawierającej poprawkę oraz przejrzeć i ograniczyć uprawnienia administratorów zarządzających dostawcami tożsamości, aby uniemożliwić tworzenie niebezpiecznych mapowań.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the Identity Provider (IdP) mapper component of Keycloak, which is used to manage how user information from external services is mapped to Keycloak users. An administrator with limited permissions to manage identity providers can exploit this flaw by creating a "Hardcoded Role" mapper that assigns high-level administrative roles (like realm-admin) to themselves or others. This allows a restricted administrator to bypass security checks and gain full control over the entire realm.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS