CVE-2026-9792

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Descrição Uma falha existe no componente org.keycloak.protocol.oidc das Políticas de Cliente do Keycloak. Quando provedores de condição específicos—client-type, client-roles, client-attributes ou client-scopes—são usados para impor restrições de segurança, o executor reject-ropc-grant é silenciosamente ignorado. Isso permite que um invasor remoto não autenticado obtenha tokens usando uma concessão de Credenciais de Senha do Proprietário do Recurso (ROPC), que é um fluxo onde o usuário fornece suas credenciais diretamente ao aplicativo para receber um token de acesso, mesmo que uma política esteja configurada para bloqueá-lo. Este bypass pode resultar em acesso não autorizado e divulgação de informações.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.