CVE-2026-16103 in Keycloak
요약
\~에 의해 VulDB • 2026. 07. 17.
Keycloak의 keycloak-services 구성 요소에서 결함이 발견되었습니다. 이 문제는 CVE-2026-9798에 대한 불완전한 수정으로, Client-Initiated Backchannel Authentication (CIBA) 시작 핸들러에는 brute-force 보호 체크가 추가되었으나 토큰 갱신(토큰 교환) 핸들러에서는 누락되었습니다. 이로 인해 유효한 클라이언트 자격 증명을 가진 공격자는 brute-force 보호로 인해 잠긴 사용자 계정에 대한 액세스 토큰과 리프레시 토큰을 획득할 수 있습니다. 단, 인증 요청이 잠기기 전에 시작되었고 사용자가 승인해야 합니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.