Mohamed Amine Ait Ouchebou

**Nome do Software Vulnerável e Versões Afetadas** Keycloak (versões afetadas não especificadas) **Descrição** Existe uma falha no processamento de refresh token do Keycloak dentro da classe `TokenManager`, especificamente relacionada à imposição de políticas de reutilização de refresh token. Quando a rotação estrita de refresh token está habilitada, a validação e a atualização do uso do refresh token não são realizadas de forma atômica. Esta operação não atômica permite que solicitações de refresh concorrentes contornem a imposição de uso único, potencialmente resultando na emissão de múltiplos access tokens a partir de um único refresh token. Isso compromete o reforço de segurança da rotação de refresh token do Keycloak. O problema envolve uma condição de corrida no `TokenManager` que possibilita a geração não autorizada de access tokens. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.