CVE-2026-1529

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Descrição Existe uma falha no mecanismo de registro de token de convite do Keycloak. O servidor não verifica a assinatura criptográfica do JSON Web Token (JWT). Um atacante pode modificar o ID da organização (org id) e o e-mail de destino no payload do JWT de um token de convite legítimo para registrar uma conta em uma organização não autorizada. Isso pode levar a acesso não autorizado, contornando o processo de cadastro somente por convite, acesso a recursos por meio de Login Único (SSO) e potencial escalonamento de privilégios por meio de Controle de Acesso Baseado em Funções (RBAC).

Recomendações Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.