CVE-2026-7500

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Descrição Quando o software é iniciado com a flag --features-disabled=account,account-api, a API REST de Conta é apenas parcialmente desativada. Cinco endpoints sob o caminho versionado "/account/v1alpha1" permanecem totalmente funcionais para operações de leitura e escrita. Isso ocorre porque esses endpoints carecem da função de controle checkAccountApiEnabled(), que é utilizada para bloquear outros endpoints na mesma classe de serviço REST. O acesso a esses endpoints ainda requer que o usuário possua as permissões necessárias para utilizar a API.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.