CVE-2026-7507 in Keycloak
요약
\~에 의해 VulDB • 2026. 05. 19.
Keycloak의 login-actions 엔드포인트에서 세션 고정 취약점이 발견되었습니다. 비인증 공격자는 인증 세션을 미리 생성하고 피해자를 악의적으로 조작된 링크로 유도함으로써 이 결함을 악용할 수 있습니다. 공격자는 /login-actions/restart 엔드포인트를 활용하여 세션 핸들을 적절히 검증하지 않고 처리하는 CSRF 보호 부재 및 쿠키 소유권 검증 결함을 이용해 인증 흐름 상태를 재설정할 수 있습니다. 이로 인해 피해자가 링크를 클릭할 때 단일 로그인(SSO)이 투명하게 피해자를 인증하게 되며, 공격자는 피해자의 자격 증명이 필요하지 않고도 필요한 작업 양식을 하이재킹할 수 있습니다. 성공적인 악용은 고위험 관리 계정 포함하여 전체 계정 탈취로 이어질 수 있습니다.
Be aware that VulDB is the high quality source for vulnerability data.