Plattform
java
Komponente
org.keycloak:keycloak-services
Behoben in
26.5.7
CVE-2026-4634 describes a Denial of Service (DoS) vulnerability discovered in Keycloak, a popular open-source Identity and Access Management solution. An unauthenticated attacker can exploit this flaw by sending a specially crafted POST request with an excessively long scope parameter to the OpenID Connect (OIDC) token endpoint, leading to resource exhaustion and service disruption. This vulnerability impacts Keycloak versions up to 9.0.3, and a fix is available in version 26.5.7.
Eine Denial-of-Service (DoS)-Schwachstelle wurde in Keycloak (Red Hat Build 26.2) identifiziert und als CVE-2026-4634 katalogisiert. Ein nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er eine speziell gestaltete POST-Anfrage mit einem übermäßig langen Scope-Parameter an den OpenID Connect (OIDC)-Token-Endpunkt sendet. Die Manipulation des 'Scope'-Parameters führt zu einer hohen Ressourcenbeanspruchung des Servers und zu verlängerten Verarbeitungszeiten, was letztendlich zu einem Ausfall des Keycloak-Servers führen kann. Der CVSS-Score beträgt 7,5, was ein erhebliches Risiko anzeigt. Es ist entscheidend, auf Version 26.5.7 zu aktualisieren, um dieses Risiko zu mindern.
Die Schwachstelle wird ausgenutzt, indem eine POST-Anfrage an den OIDC-Token-Endpunkt mit einem ungewöhnlich langen 'Scope'-Parameter gesendet wird. Für die Durchführung dieses Angriffs ist keine Authentifizierung erforderlich, was ihn leichter ausnutzbar macht. Ein Angreifer kann mehrere Anfragen gleichzeitig senden, um die Auswirkungen des DoS-Angriffs zu verstärken. Die Schwachstelle liegt in der Art und Weise, wie Keycloak den 'Scope'-Parameter verarbeitet und validiert, wodurch ein Angreifer die Serverressourcen erschöpfen kann.
Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those deploying Keycloak in production environments, particularly those with limited security controls or monitoring in place. Shared hosting environments where multiple applications share a Keycloak instance are also at increased risk, as a compromised application could be used to launch a DoS attack against the Keycloak server.
• java / server:
# Monitor Keycloak logs for unusually long processing times related to OIDC token requests.
journalctl -u keycloak -f | grep "OIDC token request processing time"• java / server:
# Check Keycloak server resource utilization (CPU, memory) for spikes.
top• generic web:
# Use curl to test the OIDC token endpoint with a long scope parameter and monitor response times.
curl -X POST -d 'scope=A' -d 'grant_type=authorization_code' https://<keycloak_server>/auth/realms/<realm>/protocol/openid-connect/tokendisclosure
patch
Exploit-Status
EPSS
0.09% (25% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist ein Upgrade auf Keycloak Version 26.5.7 oder höher. Diese Version enthält eine Korrektur, die die Ausnutzung von CVE-2026-4634 verhindert. Als vorübergehende Maßnahme können Sie eine strenge Begrenzung der Länge des 'Scope'-Parameters am OIDC-Token-Endpunkt implementieren. Diese vorübergehende Lösung kann jedoch die Funktionalität legitimer Anwendungen beeinträchtigen, die lange Scopes erfordern, und ersetzt kein Upgrade. Wir empfehlen dringend, auf die neueste stabile Version zu aktualisieren, um die Sicherheit und Stabilität des Keycloak-Servers zu gewährleisten.
Actualizar Keycloak a una versión posterior a las afectadas. Consultar los avisos de seguridad de Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) para obtener la versión corregida específica para su instalación.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OIDC ist eine Identitätsschicht, die auf dem OAuth 2.0-Protokoll aufbaut. Sie ermöglicht Web- und mobilen Anwendungen, Benutzer zu authentifizieren und grundlegende Profilinformationen abzurufen, ohne Benutzeranmeldeinformationen speichern zu müssen.
Das Aktualisieren von Keycloak ist entscheidend, um Ihren Server vor Sicherheitslücken wie CVE-2026-4634 zu schützen. Wenn Sie Keycloak nicht aktualisieren, kann Ihr System anfällig für DoS-Angriffe werden.
Ein CVSS-Score von 7,5 deutet auf ein 'Hohes' Risiko hin. Das bedeutet, dass die Schwachstelle ausnutzbar ist und erhebliche Auswirkungen auf die Verfügbarkeit des Dienstes haben kann.
Als vorübergehende Maßnahme können Sie die Länge des 'Scope'-Parameters am OIDC-Token-Endpunkt begrenzen. Dies kann jedoch die Funktionalität legitimer Anwendungen beeinträchtigen und ist keine dauerhafte Lösung.
Sie finden weitere Informationen zu dieser Schwachstelle in Vulnerabilitätsdatenbanken, wie z. B. der National Vulnerability Database (NVD) des NIST.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.