PT-2026-60351 · Red Hat · Keycloak

Publicado

2026-07-16

·

Atualizado

2026-07-16

·

CVE-2026-1609

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)
Description Um problema de controle de acesso inadequado ocorre quando o recurso de visualização de concessão de autorização JSON Web Token (JWT) está habilitado. O Keycloak falha ao validar o status de conta desativada de um usuário durante o processamento de concessões de autorização JWT. Um invasor remoto com baixos privilégios pode apresentar um token de asserção válido de um provedor de identidade externo para obter um JWT de um usuário desativado, permitindo o acesso não autorizado a recursos sensíveis.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida de mitigação temporária, desative o recurso de visualização de concessão de autorização JWT.

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-1609

Produtos afetados

Keycloak