CVE-2026-37980
ŚrednieCVSS 6.9Streszczenie
W Keycloak znaleziono lukę w stronie logowania do wyboru organizacji. Zdalny atakujący z uprawnieniami `manage-realm` lub `manage-organizations` może wykorzystać podatność na przechowywane Cross-Site Scripting (XSS), co pozwala na wykonanie złośliwego kodu JavaScript w przeglądarce użytkownika.
Ocena ryzyka
Sukces ataku może prowadzić do kradzieży sesji, nieautoryzowanych działań na koncie lub dalszych ataków na użytkowników danej organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację Keycloak do najnowszej wersji, aby usunąć tę lukę oraz przegląd uprawnień administracyjnych, aby ograniczyć dostęp do wrażliwych funkcji.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak, specifically in the organization selection login page. A remote attacker with `manage-realm` or `manage-organizations` administrative privileges can exploit a Stored Cross-Site Scripting (XSS) vulnerability. This flaw occurs because the `organization.alias` is placed into an inline JavaScript `onclick` handler, allowing a crafted JavaScript payload to execute in a user's browser when they view the login page. Successful exploitation enables arbitrary JavaScript execution, potentially leading to session theft, unauthorized account actions, or further attacks against users of the affected realm.

