PT-2026-55372 · Maven · Org.Keycloak:Keycloak-Services

Publicado

2026-07-02

·

Atualizado

2026-07-02

CVSS v3.1

7.7

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:L
Keycloak's SAML broker endpoint does not properly validate encrypted assertions when the overall SAML response is not signed. An attacker with a valid signed SAML assertion can exploit this by crafting a malicious SAML response, injecting an encrypted assertion for an arbitrary principal, leading to unauthorized access and potential information disclosure.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

GHSA-794G-X443-36F7

Produtos afetados

Org.Keycloak:Keycloak-Services