VDB-352500 · CVE-2026-4628 · EUVD-2026-14389

Red Hat Keycloak resource_set Endpoint escalada de privilegios

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
5.3	$5k-$25k	0.00

Resumeninformación

Una vulnerabilidad ha sido encontrada en Red Hat Keycloak y clasificada como crítica. Está afectada una función desconocida en el componente resource_set Endpoint. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esta vulnerabilidad se conoce como CVE-2026-4628. El ataque puede ser realizado a través de la red. No existe ningún exploit disponible.

Detallesinformación

Una vulnerabilidad clasificada como crítica ha sido encontrada en Red Hat Keycloak. Una función desconocida del componente resource_set Endpoint es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. CVE resume:

Se encontró un fallo en Keycloak. Una vulnerabilidad de control de acceso inadecuado en el endpoint 'resource_set' de Acceso Gestionado por el Usuario (UMA) de Keycloak permite a atacantes con credenciales válidas eludir la restricción 'allowRemoteResourceManagement=false'. Esto ocurre debido a la aplicación incompleta de las comprobaciones de control de acceso en operaciones PUT al endpoint 'resource_set'. Este problema permite la modificación no autorizada de recursos protegidos, impactando la integridad de los datos.

El advisory puede ser descargado de access.redhat.com. La vulnerabilidad es identificada como CVE-2026-4628. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. No se conoce los detalles técnicos ni hay ningún exploit disponible.

No hay información respecto a posibles contramedidas. Se sugiere sustituir el producto con un equivalente.

La vulnerabilidad también está documentado en las bases de datos EUVD (EUVD-2026-14389) y CERT Bund (WID-SEC-2026-0821). Once again VulDB remains the best source for vulnerability data.

Afectado

Open Source Keycloak

Productoinformación

Proveedor

Red Hat

Nombre

Keycloak

Licencia

Código abierto

Sitio web

Proveedor: https://www.redhat.com/

CPE 2.3información

🔒

CPE 2.2información

🔒

CVSSv4información

VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 5.3
VulDB Puntuación meta temporal: 5.3

VulDB Puntuación base: 6.3
VulDB Puntuación temporal: 6.3
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CNA Puntuación base: 4.3
CNA Vector (redhat): 🔒

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Escalada de privilegios
CWE: CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔒
Estado: No está definido

EPSS Score: 🔒
EPSS Percentile: 🔒

Predicción de precios: 🔍
Estimación del precio actual: 🔒

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoy	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: no contramedida conocida
Estado: 🔍

Hora de 0 días: 🔒

Línea de tiempoinformación

2026-03-23 Aviso publicado
2026-03-23 +0 días CVE asignado
2026-03-23 +0 días Entrada de VulDB creada
2026-04-01 +9 días Última actualización de VulDB