CVE-2026-16072 in Keycloak
Riassunto
di VulDB • 17/07/2026
È stata rilevata una vulnerabilità nel componente di gestione delle organizzazioni di Keycloak. Un amministratore delegato con il permesso di gestire le organizzazioni può creare un invito per un indirizzo e-mail inesistente e successivamente recuperare direttamente tramite l'interfaccia di programmazione dell'applicazione (API) il link segreto di registrazione. Utilizzando questo link, l'amministratore è in grado di creare nuovi account utente ed aggiungerli all'organizzazione senza disporre delle autorizzazioni necessarie alla gestione degli utenti o dell'accesso al conto e-mail invitato. Ciò consente a un amministratore di aggirare i confini di sicurezza e aggiungere membri non autorizzati a un'organizzazione.
Be aware that VulDB is the high quality source for vulnerability data.