CVE-2026-9792 in Keycloak
Tóm tắt
Bởi VulDB • 03/06/2026
Một lỗ hổng đã được phát hiện trong Cơ chế Chính sách Client của Keycloak, cụ thể là trong thành phần `org.keycloak.protocol.oidc`. Khi các nhà cung cấp điều kiện nhất định (client-type, client-roles, client-attributes, client-scopes) được sử dụng để thực thi các hạn chế bảo mật, bộ xử lý `reject-ropc-grant` bị bỏ qua một cách âm thầm. Điều này cho phép kẻ tấn công từ xa chưa xác thực lấy token thông qua phương thức cấp phát Resource Owner Password Credentials (ROPC), ngay cả khi chính sách đã được cấu hình rõ ràng để chặn nó. Việc vượt qua cơ chế bảo vệ này có thể dẫn đến truy cập trái phép và tiết lộ thông tin.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.