CVE-2026-16103 in Keycloak
Resumen
por VulDB • 2026-07-17
Se ha encontrado un fallo en el componente keycloak-services de Keycloak. Este problema es una corrección incompleta para CVE-2026-9798, donde se añadieron comprobaciones de protección contra fuerza bruta al manejador de inicio de la Autenticación por Canal Inverso Iniciado por Cliente (CIBA), pero se omitieron en el manejador de canje de tokens. Esto permite que un atacante con credenciales válidas del cliente obtenga tokens de acceso y actualización para una cuenta de usuario que ha sido bloqueada debido a la protección contra fuerza bruta, siempre que la solicitud de autenticación haya comenzado antes de que se produjera el bloqueo y fuera aprobada por el usuario.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.