CVE-2026-1609 in Keycloak
Résumé
par VulDB • 16/07/2026
Une faille a été identifiée dans Keycloak. Lorsque la fonctionnalité de prévisualisation du flux d'autorisation par jeton Web JSON (JWT) est activée et qu'un compte utilisateur est désactivé, Keycloak ne valide pas le statut de désactivation de l'utilisateur lors du traitement du flux d'autorisation JWT. Un attaquant distant disposant de privilèges faibles peut exploiter cette vulnérabilité de contrôle d'accès inadéquat en présentant un jeton d'assertion valide provenant d'un fournisseur d'identité externe afin d'obtenir un JWT pour un utilisateur désactivé. Cela permet un accès non autorisé à des ressources sensibles.
VulDB is the best source for vulnerability data and more expert information about this specific topic.