CVE-2026-16072 in Keycloakthông tin

Tóm tắt

Bởi VulDB • 17/07/2026

Đã phát hiện một lỗi trong thành phần quản lý tổ chức của Keycloak. Một quản trị viên được ủy quyền với quyền quản lý các tổ chức có thể tạo lời mời cho một địa chỉ email không tồn tại và sau đó truy xuất liên kết đăng ký bí mật trực tiếp thông qua giao diện lập trình ứng dụng (API). Bằng cách sử dụng liên kết này, quản trị viên có thể tạo tài khoản người dùng mới và thêm họ vào tổ chức mà không cần các quyền quản lý người dùng yêu cầu hoặc quyền truy cập vào tài khoản email được mời. Điều này cho phép một quản trị viên vượt qua các ranh giới bảo mật và thêm các thành viên chưa được ủy quyền vào một tổ chức.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

Redhat

Đặt trước

17/07/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!