CVE-2026-1609 in Keycloakinformazioni

Riassunto

di VulDB • 16/07/2026

È stata rilevata una vulnerabilità in Keycloak. Quando la funzione di anteprima dell'autorizzazione tramite JSON Web Token (JWT) è abilitata e un account utente viene disabilitato, Keycloak non valida lo stato di disattivazione dell'utente durante l'elaborazione della concessione di autorizzazione JWT. Un attaccante remoto con privilegi ridotti può sfruttare questa vulnerabilità di controllo degli accessi improprio presentando un token di asserzione valido proveniente da un provider di identità esterno per ottenere un JWT a nome di un utente disabilitato. Ciò consente l'accesso non autorizzato a risorse sensibili.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Redhat

Prenotare

29/01/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00506

KEV

no

Attività

medio

Fonti

Interested in the pricing of exploits?

See the underground prices here!