CVE-2026-1609 in Keycloakinformación

Resumen

por VulDB • 2026-07-16

Se ha encontrado un fallo en Keycloak. Cuando la función de vista previa del otorgamiento de autorización mediante JSON Web Token (JWT) está habilitada y una cuenta de usuario se desactiva, Keycloak no valida el estado de desactivación del usuario durante el procesamiento del otorgamiento de autorización JWT. Un atacante remoto con privilegios bajos puede explotar esta vulnerabilidad de control de acceso inadecuado presentando un token de aserción válido desde un proveedor de identidad externo para obtener un JWT para un usuario deshabilitado. Esto permite el acceso no autorizado a recursos sensibles.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

Redhat

Reservar

2026-01-29

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379451

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!