Red Hat · Keycloak · CVE-2026-9796
**Nome do Software Vulnerável e Versões Afetadas**
Keycloak (versões afetadas não especificadas)
**Descrição**
Um administrador autenticado com a função `manage-clients` pode explorar uma falha de Time-of-check to time-of-use (TOCTOU) nas verificações de função de administrador baseadas em nome. TOCTOU é uma condição de corrida onde o sistema verifica uma condição e depois usa o resultado dessa verificação, mas a condição muda entre a verificação e o uso. Isso permite que um invasor escale seus privilégios para `realm-admin` para todos os usuários dentro do realm, concedendo controle extensivo sobre o sistema. A relação de função composta persiste mesmo após a revogação das permissões do invasor e após reinicializações do sistema.
**Recomendações**
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.