CVE-2026-37981

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Description Um problema de controle de acesso quebrado existe no endpoint de busca de usuários dos Recursos de Conta. Um usuário remoto autenticado que possua pelo menos um recurso de User-Managed Access (UMA) pode enumerar e coletar informações de identificação pessoal (PII) de todos os usuários do realm. Ao enviar solicitações manipuladas com nomes de usuário ou valores de e-mail arbitrários para o endpoint, o sistema retorna objetos de perfil completos de usuários não relacionados, resultando em uma ampla divulgação de informações em nível de perfil.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.