CVE-2026-12388
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
W komponencie mapowania dostawcy tożsamości (IdP) w Keycloak wykryto podatność, która pozwala administratorowi z ograniczonymi uprawnieniami na przypisanie sobie lub innym użytkownikom wysokopoziomowych ról administracyjnych (np. realm-admin) poprzez utworzenie mapowania „Hardcoded Role”. Umożliwia to ominięcie kontroli bezpieczeństwa i przejęcie pełnej kontroli nad całym realmem.
Ocena ryzyka
Ryzyko polega na eskalacji uprawnień przez nieautoryzowanego administratora, co może prowadzić do całkowitego przejęcia zarządzania realmem Keycloak, naruszenia poufności i integralności danych oraz zakłócenia działania usług uwierzytelniania.
Rekomendacja
Należy natychmiast zaktualizować Keycloak do wersji zawierającej poprawkę oraz przejrzeć i ograniczyć uprawnienia administratorów zarządzających dostawcami tożsamości, aby uniemożliwić tworzenie niebezpiecznych mapowań.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in the Identity Provider (IdP) mapper component of Keycloak, which is used to manage how user information from external services is mapped to Keycloak users. An administrator with limited permissions to manage identity providers can exploit this flaw by creating a "Hardcoded Role" mapper that assigns high-level administrative roles (like realm-admin) to themselves or others. This allows a restricted administrator to bypass security checks and gain full control over the entire realm.

