CVE-2026-9796

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Descrição Um administrador autenticado com a função manage-clients pode explorar uma falha de Time-of-check to time-of-use (TOCTOU) nas verificações de função de administrador baseadas em nome. TOCTOU é uma condição de corrida onde o sistema verifica uma condição e depois usa o resultado dessa verificação, mas a condição muda entre a verificação e o uso. Isso permite que um invasor escale seus privilégios para realm-admin para todos os usuários dentro do realm, concedendo controle extensivo sobre o sistema. A relação de função composta persiste mesmo após a revogação das permissões do invasor e após reinicializações do sistema.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.