Katalog CVE

CVE-2026-9705

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

W usłudze rejestracji klientów Keycloak wykryto lukę, która pozwala zdalnemu atakującemu z wcześniej wydanym tokenem RAT na ponowne włączenie klienta wyłączonego przez administratora. Atakujący może zresetować sekret klienta i potencjalnie odzyskać uprzywilejowany dostęp do API.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowane ujawnienie informacji oraz potencjalne naruszenie integralności danych, ponieważ atakujący może ominąć kontrolę bezpieczeństwa i uzyskać dostęp do chronionych zasobów.

Rekomendacja

Zaleca się natychmiastową aktualizację Keycloak do wersji zawierającej poprawkę oraz unieważnienie wszystkich istniejących tokenów RAT po aktualizacji.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak's client registration service. A remote attacker, possessing a previously issued Registration Access Token (RAT), could exploit this vulnerability to re-enable a client that an administrator had explicitly disabled. This bypasses security controls, allowing the attacker to reset the client's secret and potentially regain privileged API access. The primary impact includes unauthorized information disclosure and potential integrity compromise.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS