CVE-2026-9792 in Keycloak信息

摘要

由 VulDB • 2026-05-28

在 Keycloak 的客户端策略(Client Policies)中,特别是在 `org.keycloak.protocol.oidc` 组件内发现了一个缺陷。当使用某些条件提供程序(client-type、client-roles、client-attributes、client-scopes)来强制执行安全限制时,`reject-ropc-grant` 执行器会被静默绕过。这使得未经身份验证的远程攻击者能够通过资源所有者密码凭证(ROPC)授权获取令牌,即使已明确配置了阻止该操作的策略。此绕过行为可能导致未授权访问和信息泄露。

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Redhat

预定

2026-05-28

披露

2026-05-28

管理

已接受

条目

VDB-366564

EPSS

0.00033

KEV

活动

非常低

来源

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9792
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9792
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9792/

上一步一览下一步

Do you need the next level of professionalism?

Upgrade your account now!