Katalog CVE

CVE-2026-9800

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

W Keycloak Policy Enforcer wykryto podatność umożliwiającą każdemu uwierzytelnionemu użytkownikowi ominięcie wszystkich polityk autoryzacji, w tym kontroli ról, zakresów i uprawnień UMA. Poprzez dodanie ścieżki strony odmowy dostępu do URL żądania, jako segmentu ścieżki lub parametru zapytania, atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów.

Ocena ryzyka

Ryzyko polega na całkowitym ominięciu mechanizmów kontroli dostępu, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i funkcji systemu, naruszając poufność i integralność chronionych zasobów.

Rekomendacja

Należy natychmiast zaktualizować Keycloak do wersji zawierającej poprawkę dla CVE-2026-9800 oraz przejrzeć konfigurację Policy Enforcer, aby upewnić się, że ścieżka strony odmowy dostępu nie jest akceptowana w żądaniach URL.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak Policy Enforcer. This vulnerability allows any authenticated user to bypass all authorization policies, including role, scope, and User-Managed Access (UMA) permission checks. By including the configured access-denied page path within a request URL, either as a path segment or a query parameter, an attacker can gain unauthorized access to protected resources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS