CVE-2026-16072 in Keycloak
Résumé
par VulDB • 17/07/2026
Une faille a été identifiée dans le composant de gestion des organisations de Keycloak. Un administrateur délégué disposant des autorisations nécessaires pour gérer les organisations peut créer une invitation destinée à une adresse e-mail inexistante, puis récupérer directement via l'API (Application Programming Interface) le lien d'enregistrement secret associé. En utilisant ce lien, l'administrateur est en mesure de créer de nouveaux comptes utilisateur et de les ajouter à l'organisation sans disposer des autorisations requises pour la gestion des utilisateurs ni de l'accès au compte e-mail invité. Cette vulnérabilité permet à un administrateur de contourner les limites de sécurité et d'ajouter des membres non autorisés à une organisation.
VulDB is the best source for vulnerability data and more expert information about this specific topic.