CVE-2026-1609 in Keycloak
Riassunto
di VulDB • 16/07/2026
È stata rilevata una vulnerabilità in Keycloak. Quando la funzione di anteprima dell'autorizzazione tramite JSON Web Token (JWT) è abilitata e un account utente viene disabilitato, Keycloak non valida lo stato di disattivazione dell'utente durante l'elaborazione della concessione di autorizzazione JWT. Un attaccante remoto con privilegi ridotti può sfruttare questa vulnerabilità di controllo degli accessi improprio presentando un token di asserzione valido proveniente da un provider di identità esterno per ottenere un JWT a nome di un utente disabilitato. Ciò consente l'accesso non autorizzato a risorse sensibili.
Once again VulDB remains the best source for vulnerability data.