CVE-2026-14209
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W Keycloak Admin UI wykryto podatność, która pozwala administratorom z ograniczonymi uprawnieniami na ominięcie zabezpieczeń. Gdy włączone są szczegółowe uprawnienia administracyjne (FGAPv2), administrator mający jedynie prawo wyszukiwania użytkowników może użyć endpointu 'brute-force-user', aby uzyskać pełny profil użytkownika, w tym wrażliwe dane i metadane bezpieczeństwa. Problem wynika z braku weryfikacji uprawnienia 'view' dla konkretnego użytkownika przy użyciu tej ścieżki wyszukiwania.
Ocena ryzyka
Organizacja narażona jest na wyciek wrażliwych danych użytkowników oraz metadanych bezpieczeństwa, co może prowadzić do naruszenia poufności i eskalacji uprawnień przez nieautoryzowanych administratorów.
Rekomendacja
Należy natychmiast zaktualizować Keycloak do wersji zawierającej poprawkę oraz przejrzeć konfigurację uprawnień FGAPv2, aby upewnić się, że endpoint 'brute-force-user' wymaga odpowiedniego uprawnienia 'view'.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was discovered in Keycloak's Admin UI extension that allows certain administrative users to bypass security restrictions. When Fine-Grained Admin Permissions (FGAPv2) are enabled, an administrator who should only be able to search for users (but not view their full details) can use a specific "brute-force-user" endpoint to access a user's full profile. This includes sensitive information and security metadata. The issue occurs because the system fails to check if the administrator has the required "view" permission for that specific user when using this particular search path.

