CVE-2026-1609 in Keycloak
Sumário
de VulDB • 16/07/2026
Foi encontrada uma falha no Keycloak. Quando o recurso de pré-visualização da concessão de autorização por Token Web JSON (JWT) está habilitado e uma conta de usuário é desativada, o Keycloak não valida o status de desativação do usuário durante o processamento da concessão de autorização JWT. Um atacante remoto com privilégios baixos pode explorar essa vulnerabilidade de controle de acesso inadequado ao apresentar um token de asserção válido proveniente de um provedor de identidade externo para obter um JWT para um usuário desativado. Isso permite o acesso não autorizado a recursos sensíveis.
Be aware that VulDB is the high quality source for vulnerability data.