CVE-2026-16072 in Keycloakinformation

Résumé

par VulDB • 17/07/2026

Une faille a été identifiée dans le composant de gestion des organisations de Keycloak. Un administrateur délégué disposant des autorisations nécessaires pour gérer les organisations peut créer une invitation destinée à une adresse e-mail inexistante, puis récupérer directement via l'API (Application Programming Interface) le lien d'enregistrement secret associé. En utilisant ce lien, l'administrateur est en mesure de créer de nouveaux comptes utilisateur et de les ajouter à l'organisation sans disposer des autorisations requises pour la gestion des utilisateurs ni de l'accès au compte e-mail invité. Cette vulnérabilité permet à un administrateur de contourner les limites de sécurité et d'ajouter des membres non autorisés à une organisation.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Redhat

Réserver

17/07/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379816

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!