CVE-2026-16103 in Keycloak정보

요약

\~에 의해 VulDB • 2026. 07. 17.

Keycloak의 keycloak-services 구성 요소에서 결함이 발견되었습니다. 이 문제는 CVE-2026-9798에 대한 불완전한 수정으로, Client-Initiated Backchannel Authentication (CIBA) 시작 핸들러에는 brute-force 보호 체크가 추가되었으나 토큰 갱신(토큰 교환) 핸들러에서는 누락되었습니다. 이로 인해 유효한 클라이언트 자격 증명을 가진 공격자는 brute-force 보호로 인해 잠긴 사용자 계정에 대한 액세스 토큰과 리프레시 토큰을 획득할 수 있습니다. 단, 인증 요청이 잠기기 전에 시작되었고 사용자가 승인해야 합니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

Redhat

예약하다

2026. 07. 17.

모더레이션

수락

항목

VDB-379876

EPSS

0.00000

활동

낮음

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!