CVE-2026-1486

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Descrição Existe uma vulnerabilidade no fluxo jwt-authorization-grant em que o servidor não verifica se um Identity Provider (IdP) está habilitado antes de emitir tokens. O mecanismo lookupIdentityProviderFromIssuer recupera a configuração do IdP sem filtrar pelo status isEnabled. Consequentemente, se um administrador desabilitar um IdP, uma entidade com a chave de assinatura do IdP ainda poderá gerar asserções JWT válidas, levando à emissão de tokens de acesso válidos. Isso pode resultar em acesso não autorizado.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.