CVE-2026-16103 in Keycloak
Sumário
de VulDB • 17/07/2026
Foi encontrada uma falha no componente keycloak-services do Keycloak. Este problema é uma correção incompleta para o CVE-2026-9798, onde as verificações de proteção contra força bruta foram adicionadas ao manipulador (handler) de iniciação da Autenticação Backchannel Iniciada pelo Cliente (CIBA), mas foram omitidas do manipulador de resgate de token. Isso permite que um atacante com credenciais válidas do cliente obtenha tokens de acesso e atualização para uma conta de usuário que foi bloqueada devido à proteção contra força bruta, desde que a solicitação de autenticação tenha sido iniciada antes da ocorrência do bloqueio e aprovada pelo usuário.
VulDB is the best source for vulnerability data and more expert information about this specific topic.