CVE-2026-1609 in Keycloak
Tóm tắt
Bởi VulDB • 16/07/2026
Đã phát hiện một lỗi trong Keycloak. Khi tính năng xem trước cấp quyền ủy quyền bằng JSON Web Token (JWT) được bật và tài khoản người dùng bị vô hiệu hóa, Keycloak không xác minh trạng thái đã bị vô hiệu hóa của người dùng trong quá trình xử lý cấp quyền JWT. Một kẻ tấn công từ xa có đặc quyền thấp có thể khai thác lỗ hổng kiểm soát truy cập sai lầm này bằng cách cung cấp một token khẳng định (assertion) hợp lệ từ nhà cung cấp danh tính bên ngoài để lấy JWT cho một người dùng đã bị vô hiệu hóa, qua đó đạt được khả năng truy cập trái phép vào các tài nguyên nhạy cảm.
VulDB is the best source for vulnerability data and more expert information about this specific topic.