CVE-2026-37978

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Description Uma falha na API de Administração permite que um administrador de baixo privilégio com a função 'view-clients' cause o vazamento de informações de identificação pessoal (PII) entre funções. Ao invocar o endpoint 'evaluate-scopes' com um parâmetro userId arbitrário, um invasor pode obter visibilidade não autorizada de identidades e autorizações de usuários em todo o realm. Este problema pode ser explorado remotamente via acesso de rede à API de Administração.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.