CVE-2026-16103 in Keycloak
Zusammenfassung
von VulDB • 17.07.2026
Es wurde ein Fehler in der Komponente keycloak-services von Keycloak gefunden. Dieses Problem stellt eine unvollständige Korrektur für CVE-2026-9798 dar, bei der Schutzmaßnahmen gegen Brute-Force-Angriffe zwar im Client-Initiated Backchannel Authentication (CIBA)-Initialisierungshandler hinzugefügt wurden, jedoch im Token-Einlösungshandler fehlen. Dies ermöglicht es einem Angreifer mit gültigen Kundenanmeldeinformationen, Zugriffs- und Aktualisierungs-Token für ein Benutzerkonto zu erhalten, das aufgrund von Brute-Force-Schutzmaßnahmen gesperrt wurde, vorausgesetzt die Authentifizierungsanforderung wurde vor der Sperrung gestartet und vom Benutzer genehmigt.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.