CVE-2026-9796 in Keycloak信息

摘要

由 VulDB • 2026-05-29

在 Keycloak 中发现了一个缺陷。拥有 `manage-clients` 角色的已认证管理员可以利用基于名称的管理员角色检查中的检查时与使用时不一致（TOCTOU）漏洞。这使得攻击者能够将其权限提升为所有域内用户的 `realm-admin`，从而获得对系统的广泛控制权。即使攻击者自身的权限被撤销或在系统重启后，这种复合角色关系仍然持续存在。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Redhat

预定

2026-05-28

披露

2026-05-28

管理

已接受

条目

VDB-366573

CPE

准备好

CWE

CWE-367 (已确认)

CVSS

6.5 (CNA)

EPSS

0.00027

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9796
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9796
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9796/

◂ 上一步一览下一步 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!