CVE-2026-9704 in Keycloakinformación

Resumen

por VulDB • 2026-05-29

Se ha encontrado un fallo en Keycloak. Un usuario autenticado con privilegios bajos puede explotar esta vulnerabilidad enviando un JSON Web Token (JWT) de subject_token de tamaño excesivo al TokenEndpoint. Cuando el token supera un límite de 4000 caracteres, se descarta silenciosamente, lo que provoca que el sistema vuelva a utilizar las credenciales del cliente (client credentials). Esto permite al usuario obtener los permisos de la cuenta de servicio del cliente, lo que conlleva una escalada de privilegios.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Redhat

Reservar

2026-05-27

Divulgación

2026-05-27

Moderación

aceptado

Artículo

VDB-366455

CPE

listo

CWE

CWE-1284 (confirmado)

CVSS

6.8 (CNA)

EPSS

0.00041

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9704
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9704
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9704/

◂ Anterior Visión De Conjunto Próximo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!