Katalog CVE

CVE-2026-8922

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

W Keycloak wykryto błąd polegający na tym, że gdy skonfigurowane są zarówno polityki unieważniania `notBefore` na poziomie realm, jak i klienta, funkcja OIDC Introspection nie honoruje prawidłowo polityki realm. Powoduje to, że tokeny, które powinny być unieważnione, pozostają aktywne, co może prowadzić do nieautoryzowanego dostępu lub przedłużenia ważności sesji.

Ocena ryzyka

Ryzyko polega na możliwości uzyskania nieautoryzowanego dostępu do zasobów chronionych przez Keycloak, ponieważ tokeny JWT, które powinny być unieważnione na poziomie realm, są nadal akceptowane. Może to naruszyć integralność systemów zarządzania tożsamością i dostępem.

Rekomendacja

Zaleca się natychmiastową aktualizację Keycloak do wersji, w której naprawiono tę podatność. Do czasu aktualizacji należy rozważyć tymczasowe wyłączenie polityk `notBefore` na poziomie klienta lub realm, jeśli to możliwe.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak. When both realm-level and client-level `notBefore` revocation policies are configured, Keycloak's OpenID Connect (OIDC) Introspection feature fails to properly honor the realm-level policy. This allows tokens that should have been revoked to remain active, potentially leading to unauthorized access or continued session validity. This could impact the security of systems utilizing Keycloak for identity and access management.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS