Evan Hendra

**Nome do Software Vulnerável e Versões Afetadas** Keycloak (versões afetadas não especificadas) **Descrição** Um usuário autenticado com associação a uma organização existente pode explorar uma falha ao acessar APIs voltadas para o usuário, como a API de conta, ou ao solicitar um token OpenID Connect (OIDC) com o escopo `organization`. Isso resulta na divulgação de metadados da organização em tokens, mesmo que um administrador tenha desativado explicitamente o recurso de Organizações. Esse vazamento pode levar a decisões de autorização incorretas por parte dos servidores de recursos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Keycloak (versões afetadas não especificadas) **Descrição** Uma falha existe no componente `org.keycloak.protocol.oidc` das Políticas de Cliente do Keycloak. Quando provedores de condição específicos—`client-type`, `client-roles`, `client-attributes` ou `client-scopes`—são usados para impor restrições de segurança, o executor `reject-ropc-grant` é silenciosamente ignorado. Isso permite que um invasor remoto não autenticado obtenha tokens usando uma concessão de Credenciais de Senha do Proprietário do Recurso (ROPC), que é um fluxo onde o usuário fornece suas credenciais diretamente ao aplicativo para receber um token de acesso, mesmo que uma política esteja configurada para bloqueá-lo. Este bypass pode resultar em acesso não autorizado e divulgação de informações. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Keycloak (versões afetadas não especificadas) **Descrição** Um controle de segurança destinado a desativar o fluxo implícito em clientes OpenID Connect (OIDC) pode ser burlado. Um usuário de baixo privilégio com conhecimento de credenciais de usuário e ID do cliente pode manipular dados do cliente durante a reinicialização de uma sessão para obter um token de acesso não autorizado. Esse processo pode levar à exposição de tokens de acesso em logs do servidor, logs de proxy e cabeçalhos HTTP Referrer, resultando na divulgação de informações sensíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Keycloak (versões afetadas não especificadas) **Descrição** Quando o software é iniciado com a flag `--features-disabled=account,account-api`, a API REST de Conta é apenas parcialmente desativada. Cinco endpoints sob o caminho versionado "/account/v1alpha1" permanecem totalmente funcionais para operações de leitura e escrita. Isso ocorre porque esses endpoints carecem da função de controle `checkAccountApiEnabled()`, que é utilizada para bloquear outros endpoints na mesma classe de serviço REST. O acesso a esses endpoints ainda requer que o usuário possua as permissões necessárias para utilizar a API. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.