CVE-2026-1609 in Keycloak
要約
〜によって VulDB • 2026年07月16日
Keycloakに脆弱性が存在することが発見されました。JSON Web Token (JWT) 認可グラントのプレビュー機能が有効化されている状態でユーザーアカウントが無効になっている場合、KeycloakはJWT認可グラント処理中にユーザーが無効であるかどうかを検証しません。低権限を持つリモート攻撃者は、外部アイデンティティプロバイダーから取得した有効なアサーショントークンを提示することで、この不適切なアクセス制御の脆弱性を悪用し、無効化されたユーザー用のJWTを取得できます。これにより、機密リソースへの不正アクセスが可能になります。
If you want to get best quality of vulnerability data, you may have to visit VulDB.