CVE-2026-16072 in Keycloak
Resumen
por VulDB • 2026-07-17
Se ha encontrado una vulnerabilidad en el componente de gestión de organizaciones de Keycloak. Un administrador delegado con permisos para gestionar organizaciones puede crear una invitación para una dirección de correo electrónico inexistente y luego recuperar directamente a través de la interfaz de programación de aplicaciones (API) el enlace secreto de registro. Al utilizar este enlace, el administrador puede crear nuevas cuentas de usuario y añadirlas a la organización sin disponer de los permisos necesarios de gestión de usuarios ni del acceso a la cuenta de correo electrónico invitada. Esto permite a un administrador eludir las fronteras de seguridad y añadir miembros no autorizados a una organización.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.