CVE-2026-1609 in Keycloakinformação

Sumário

de VulDB • 16/07/2026

Foi encontrada uma falha no Keycloak. Quando o recurso de pré-visualização da concessão de autorização por Token Web JSON (JWT) está habilitado e uma conta de usuário é desativada, o Keycloak não valida o status de desativação do usuário durante o processamento da concessão de autorização JWT. Um atacante remoto com privilégios baixos pode explorar essa vulnerabilidade de controle de acesso inadequado ao apresentar um token de asserção válido proveniente de um provedor de identidade externo para obter um JWT para um usuário desativado. Isso permite o acesso não autorizado a recursos sensíveis.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

Redhat

Reservar

29/01/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379451

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!