CVE-2026-9099
WysokieCVSS 7.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
W Keycloak wykryto brak autoryzacji w punkcie końcowym GroupResource.addChild() w Admin REST API. Uwierzytelniony użytkownik z ograniczonymi uprawnieniami administracyjnymi może przepiąć dowolną istniejącą grupę, co przy włączonej funkcji FGAPv2 umożliwia atakującemu przejęcie grupy z wysokimi uprawnieniami.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowany dostęp do zarządzania i resetowania haseł członków uprzywilejowanej grupy, co może prowadzić do przejęcia konta administratora i pełnego przejęcia realm, skutkując utratą poufności, integralności i dostępności.
Rekomendacja
Należy natychmiast zaktualizować Keycloak do wersji zawierającej poprawkę dla CVE-2026-9099 oraz przejrzeć konfigurację uprawnień FGAPv2, aby ograniczyć możliwość przepinania grup.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Keycloak. A missing authorization check in the GroupResource.addChild() endpoint within the Admin REST API allows an authenticated user with limited administrative privileges to reparent any existing group. When Fine-Grained Admin Permissions v2 (FGAPv2) is enabled, an attacker with management rights over a single low-privilege group can reparent a highly privileged group (such as one possessing the realm-admin role) under their managed group. Because group permissions follow a hierarchical structure, this action unauthorizedly grants the attacker management and password-reset capabilities over the members of the targeted privileged group. An attacker can exploit this to reset an administrator's password, compromise the account, and achieve a full realm takeover, leading to a complete compromise of confidentiality, integrity, and availability.

