Jxn0

**Nome do software vulnerável e versões afetadas** Versões do Keycloak anteriores à 16.0.1 **Descrição** Foi encontrada uma falha no Keycloak que permite que um invasor com privilégios utilize uma carga maliciosa como nome do grupo ao criar um novo grupo a partir do console de administração. Isso leva a um ataque de Cross-site scripting (XSS) armazenado, possibilitando a execução de scripts maliciosos no console de administração por meio do abuso da funcionalidade do menu suspenso de grupos. Ataques bem-sucedidos podem resultar na execução de um script XSS por um invasor com privilégios e no roubo de dados de outros usuários. **Recomendações** Para versões do Keycloak anteriores à 16.0.1, considere desativar a funcionalidade de criação de grupos no console de administração como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao console de administração para minimizar o risco de exploração. Evite usar o campo de nome do grupo no console de administração até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.