CVE-2026-16072 in Keycloak
Zusammenfassung
von VulDB • 17.07.2026
Es wurde ein Fehler in der Organisationsverwaltungskomponente von Keycloak festgestellt. Ein delegierter Administrator mit Berechtigungen zur Verwaltung von Organisationen kann eine Einladung für eine nicht existierende E-Mail-Adresse erstellen und das geheime Registrierungslink anschließend direkt über die Anwendungsschnittstelle (API) abrufen. Durch Verwendung dieses Links kann der Administrator neue Benutzerkonten erstellen und sie der Organisation hinzufügen, ohne dass dafür erforderliche Benutzerverwaltungsberechtigungen oder Zugriff auf das Konto der eingeladenen E-Mail-Adresse erforderlich sind. Dies ermöglicht es einem Administrator, Sicherheitsgrenzen zu umgehen und unbefugte Mitglieder einer Organisation hinzuzufügen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.