CVE-2026-7507 in Keycloakالمعلومات

الملخص

بحسب VulDB • 19/05/2026

تم العثور على ثغرة تثبيت الجلسة (Session Fixation) في نقاط نهاية login-actions الخاصة بـ Keycloak. يمكن لمهاجم غير مصادق عليه استغلال هذا القصور من خلال إنشاء جلسة مصادقة مسبقاً وخداع الضحية لزيارة رابط مُعدّ بشكل خبيث. ومن خلال الاستفادة من نقطة النهاية /login-actions/restart—which تعالج مقابض الجلسة دون حماية CSRF كافية أو التحقق من ملكية ملفات تعريف الارتباط (Cookies)—يمكن للمهاجم إعادة تعيين حالة تدفق المصادقة. يؤدي هذا إلى مصادقة الضحية بشكل شفاف عبر نظام الدخول الموحد (SSO) عند النقر على الرابط، مما يتيح للمهاجم اختطاف نموذج الإجراء المطلوب دون الحاجة إلى بيانات اعتماد الضحية. قد يؤدي الاستغلال الناجح إلى الاستيلاء الكامل على الحساب، بما في ذلك الحسابات الإدارية ذات الامتيازات العالية.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Redhat

حجز

30/04/2026

إفشاء

19/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364633

CPE

جاهز

CWE

CWE-290 (مؤكد)

CVSS

7.5 (CNA)

EPSS

0.00021

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7507
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7507
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7507/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!