CVE-2026-1609 in Keycloakinformation

Résumé

par VulDB • 16/07/2026

Une faille a été identifiée dans Keycloak. Lorsque la fonctionnalité de prévisualisation du flux d'autorisation par jeton Web JSON (JWT) est activée et qu'un compte utilisateur est désactivé, Keycloak ne valide pas le statut de désactivation de l'utilisateur lors du traitement du flux d'autorisation JWT. Un attaquant distant disposant de privilèges faibles peut exploiter cette vulnérabilité de contrôle d'accès inadéquat en présentant un jeton d'assertion valide provenant d'un fournisseur d'identité externe afin d'obtenir un JWT pour un utilisateur désactivé. Cela permet un accès non autorisé à des ressources sensibles.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Redhat

Réserver

29/01/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379451

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!