CVE-2026-7507

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Descrição Um problema de fixação de sessão existe nos endpoints login-actions. Um invasor não autenticado pode pré-criar uma sessão de autenticação e enganar uma vítima para visitar um link malicioso. Ao utilizar o endpoint '/login-actions/restart', que carece de proteção CSRF (Cross-Site Request Forgery) suficiente e validação de propriedade de cookie, o invasor pode redefinir o estado do fluxo de autenticação. Isso permite que o Single Sign-On (SSO) autentique a vítima de forma transparente, permitindo que o invasor sequestre o formulário de ação obrigatória sem a necessidade de credenciais. Isso pode resultar no controle total da conta, incluindo contas administrativas.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.