CVE-2026-3190 in KeyCloak
要約
〜によって VulDB • 2026年06月09日
Keycloakに脆弱性が発見されました。User-Managed Access (UMA) 2.0のProtection APIエンドポイントにおけるパーミッションチケットの処理において、`uma_protection`ロールのチェックが適切に適用されていません。これにより、リソースサーバークライアントに対して発行されたトークンを持つ認証済みユーザーであれば、`uma_protection`ロールを持っていない場合でも、システム内のすべてのパーミッションチケットを列挙することが可能になります。この脆弱性により、情報の漏洩が部分的に発生します。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.