Plattform
java
Komponente
org.keycloak:keycloak-services
Behoben in
26.5.7
CVE-2026-4636 is a security vulnerability discovered in Keycloak Services. This flaw allows an authenticated user with the uma_protection role to bypass User-Managed Access (UMA) policy validation, potentially leading to unauthorized access to sensitive data and actions. The vulnerability impacts Keycloak versions 9.0.3 and earlier, and a fix is available in version 26.5.7.
Eine kritische Schwachstelle wurde in der Red Hat Build von Keycloak 26.2 (CVE-2026-4636) mit einem CVSS-Score von 8.1 identifiziert. Diese Schwachstelle ermöglicht einem authentifizierten Benutzer mit der Rolle 'uma_protection', die Validierung von Richtlinien für den benutzerverwalteten Zugriff (UMA) zu umgehen. Der Angreifer kann Ressourcen-IDs, die anderen Benutzern gehören, in einer Anfrage zur Richtlinienerstellung einfügen, selbst wenn der URL-Pfad eine Ressource angibt, die dem Angreifer gehört. Dies führt dazu, dass unbefugte Berechtigungen für Ressourcen gewährt werden, die der Opfer gehören, wodurch der Angreifer ein Requesting Party Token (RPT) erhalten und auf sensible Informationen zugreifen oder unbefugte Aktionen ausführen kann. Die Schwere dieser Schwachstelle liegt in ihrem Potenzial, die Datensicherheit und die Integrität des Systems zu gefährden, insbesondere in Umgebungen, in denen UMA zur Steuerung des Zugriffs auf sensible Ressourcen verwendet wird. Eine erfolgreiche Ausnutzung kann zur Offenlegung vertraulicher Informationen, zur Manipulation von Daten und zur Eskalation von Privilegien führen.
Die Schwachstelle wird ausgenutzt, indem die Rolle 'uma_protection' innerhalb von Keycloak genutzt wird. Ein Angreifer mit dieser Rolle kann UMA-Richtlinienanfrage manipulieren, um Ressourcen einzuschließen, die ihm nicht gehören. Dies wird erreicht, indem das System dazu verleitet wird, die Richtlinie anhand von Ressourcen-IDs zu validieren, die anderen Opfern gehören. Der URL-Pfad in der Anfrage kann irreführend sein und angeben, dass eine Richtlinie für eine Ressource erstellt wird, die dem Angreifer gehört, während intern die Richtlinie auf die Ressourcen des Opfers angewendet wird. Das Fehlen einer ordnungsgemäßen Validierung der Ressourcen-IDs ermöglicht diese Manipulation. Sobald der Angreifer die Richtlinie erfolgreich erstellt hat, kann er ein RPT erhalten und dieses verwenden, um auf die Ressourcen des Opfers zuzugreifen. Diese Art von Angriff ist besonders gefährlich, da er schwer zu erkennen sein kann, da die Erstellung der Richtlinie legitim erscheint.
Organizations heavily reliant on Keycloak for authentication and authorization, particularly those utilizing User-Managed Access (UMA) policies, are at significant risk. Environments with a large number of users granted the uma_protection role, or those with complex UMA policy configurations, should prioritize remediation. Shared hosting environments using Keycloak are also at increased risk due to the potential for cross-tenant exploitation.
• java / server:
# Check Keycloak version
java -jar keycloak.jar --version• java / server:
# Monitor Keycloak logs for suspicious UMA policy creation requests
grep -i 'resource identifier' /path/to/keycloak/logs/keycloak.log• generic web:
# Check for unusual UMA policy endpoints
curl -I https://your-keycloak-instance/realms/your-realm/uma/policiesdisclosure
Exploit-Status
EPSS
0.03% (8% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Abhilfemaßnahme für diese Schwachstelle ist die Aktualisierung auf die Red Hat Build von Keycloak 26.5.7 oder höher. Diese Version enthält eine Korrektur, die die Schwachstelle bei der Validierung von UMA-Richtlinien behebt. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko einer Ausnutzung zu minimieren. Überprüfen Sie außerdem die vorhandenen UMA-Konfigurationen, um sicherzustellen, dass Richtlinien korrekt definiert sind und Benutzerrollen sicher zugewiesen werden. Die Überwachung der Keycloak-Protokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, Ausnutzungsversuche zu erkennen und darauf zu reagieren. Das Update sollte gemäß den Best Practices für das Änderungsmanagement durchgeführt werden, um Dienstunterbrechungen zu vermeiden. Vor der Anwendung des Updates in der Produktion werden umfassende Tests in einer Staging-Umgebung empfohlen.
Actualice Keycloak a la última versión disponible que contenga la corrección para esta vulnerabilidad. Consulte los avisos de seguridad de Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) para obtener más detalles e instrucciones específicas de actualización.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
UMA (User-Managed Access) ist ein Standard für die granulare Zugriffskontrolle auf Ressourcen. Er ermöglicht es Benutzern, zu kontrollieren, wer auf ihre Ressourcen zugreifen kann und welche Aktionen sie ausführen können. Es ist wichtig, weil es eine präzisere Kontrolle über den Datenzugriff bietet und so die Sicherheit und den Datenschutz verbessert.
Die Rolle 'uma_protection' in Keycloak gewährt Benutzern die Möglichkeit, UMA-Zugriffsberechtigungen zu erstellen und zu verwalten. Diese Schwachstelle wird ausgenutzt, aufgrund eines Mangels an Validierung innerhalb dieser Rolle.
Wenn Sie nicht sofort aktualisieren können, sollten Sie vorübergehende Abhilfemaßnahmen ergreifen, z. B. den Zugriff auf die Rolle 'uma_protection' einzuschränken und die Keycloak-Protokolle auf verdächtige Aktivitäten zu überwachen.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen. Es wird jedoch empfohlen, Sicherheitsaudits und Penetrationstests durchzuführen, um potenzielle Konfigurationsprobleme und Schwachstellen zu identifizieren.
Sie können weitere Informationen zu dieser Schwachstelle in der Red Hat-Sicherheitsmitteilung und in der CVE-Datenbank (Common Vulnerabilities and Exposures) finden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.