Katalog CVE

CVE-2026-9689

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Keycloak, rozwiązaniu do zarządzania tożsamością i dostępem, znaleziono lukę. Gdy aplikacja kliencka jest skonfigurowana do akceptacji szerokich identyfikatorów URI, zdalny atakujący może manipulować procesem uwierzytelniania, tworząc specjalny adres internetowy.

Ocena ryzyka

Luka ta, znana jako zanieczyszczenie parametrów HTTP, może pozwolić atakującemu na obejście zabezpieczeń lub uzyskanie nieautoryzowanego dostępu do zasobów, co stwarza poważne zagrożenie dla organizacji.

Rekomendacja

Zaleca się ograniczenie akceptowanych identyfikatorów URI w aplikacjach klienckich oraz wdrożenie dodatkowych mechanizmów weryfikacji danych, aby zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak, an open-source identity and access management solution. When a client application is configured to accept broad redirect Uniform Resource Identifiers (URIs), a remote attacker can manipulate the authentication process by crafting a special web address. If a user clicks this link, the client application might incorrectly prioritize attacker-controlled information over legitimate data. This vulnerability, known as HTTP parameter pollution, could allow an attacker to bypass security measures or gain unauthorized access to resources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS