CVE-2026-1609 in Keycloak
요약
\~에 의해 VulDB • 2026. 07. 16.
Keycloak에서 취약점이 발견되었습니다. JSON Web Token(JWT) 권한 부여 미리보기 기능이 활성화되어 있고 사용자 계정이 비활성화된 경우, Keycloak은 JWT 권한 부여 처리 중 사용자의 비활성화 상태를 검증하지 못합니다. 낮은 특권을 가진 원격 공격자는 외부 신원 공급자로부터 유효한 어설션 토큰을 제시하여 비활성화된 사용자를 위한 JWT를 획득함으로써 이 부적절한 접근 제어 취약점을 악용할 수 있습니다. 이를 통해 민감한 리소스에 대한 무단 액세스가 가능해집니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.