PT-2026-3754 · Red Hat · Keycloak
Mohamed Amine Ait Ouchebou
+1
·
Publicado
2026-01-21
·
Atualizado
2026-01-21
·
CVE-2026-1035
CVSS v3.1
3.1
Baixa
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Keycloak (versões afetadas não especificadas)
Descrição
Existe uma falha no processamento de refresh token do Keycloak dentro da classe
TokenManager, especificamente relacionada à imposição de políticas de reutilização de refresh token. Quando a rotação estrita de refresh token está habilitada, a validação e a atualização do uso do refresh token não são realizadas de forma atômica. Esta operação não atômica permite que solicitações de refresh concorrentes contornem a imposição de uso único, potencialmente resultando na emissão de múltiplos access tokens a partir de um único refresh token. Isso compromete o reforço de segurança da rotação de refresh token do Keycloak. O problema envolve uma condição de corrida no TokenManager que possibilita a geração não autorizada de access tokens.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Keycloak