Plataforma
java
Componente
org.keycloak:keycloak-parent
Corregido en
26.5.3
Se ha descubierto una vulnerabilidad de Server-Side Request Forgery (SSRF) en Keycloak, específicamente en la funcionalidad CIBA. Esta falla se debe a una validación insuficiente de los puntos finales de notificación de backchannel configurados por el cliente, lo que podría permitir a un atacante realizar solicitudes ciegas a servicios internos. La vulnerabilidad afecta a versiones de Keycloak anteriores o iguales a 26.5.2. Se recomienda actualizar a la última versión disponible para mitigar el riesgo.
La vulnerabilidad SSRF en Keycloak permite a un atacante, a través de la manipulación de la configuración de CIBA, enviar solicitudes a recursos internos que normalmente no serían accesibles desde el exterior. Esto podría incluir servicios de administración, bases de datos o APIs internas. Aunque la severidad es clasificada como baja, el impacto potencial reside en la exposición de información sensible o la capacidad de ejecutar acciones no autorizadas en sistemas internos. Un atacante podría, por ejemplo, escanear la red interna en busca de servicios vulnerables o intentar acceder a credenciales almacenadas en servicios internos. La naturaleza 'ciega' de la solicitud dificulta la detección, ya que las respuestas no son directamente visibles para el atacante, requiriendo técnicas de inferencia para obtener información.
La vulnerabilidad fue publicada el 2 de febrero de 2026. Actualmente, no se reporta explotación activa en la naturaleza. La puntuación CVSS de 2.7 indica una baja probabilidad de explotación, aunque la naturaleza de las vulnerabilidades SSRF las hace potencialmente atractivas para atacantes con recursos y tiempo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad.
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Keycloak a una versión corregida donde la validación de los puntos finales de backchannel se haya reforzado. Si la actualización inmediata no es posible, se recomienda implementar medidas de mitigación temporales. Restringir el acceso a los servicios internos desde la red externa mediante reglas de firewall o listas de control de acceso (ACL) puede limitar el alcance de la vulnerabilidad. Además, se puede considerar la implementación de un proxy inverso que filtre las solicitudes salientes y bloquee aquellas que apunten a recursos internos no autorizados. Monitorear los registros de Keycloak en busca de patrones de solicitudes inusuales también puede ayudar a detectar intentos de explotación.
Actualice a una versión de Keycloak que haya solucionado la vulnerabilidad de SSRF. Consulte las notas de la versión de Red Hat Build of Keycloak para obtener información sobre la versión corregida y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1518 is a Server-Side Request Forgery (SSRF) vulnerability affecting Keycloak versions up to 26.5.2. It allows attackers to potentially make requests to internal services through the CIBA feature due to insufficient endpoint validation.
You are affected if you are using Keycloak version 26.5.2 or earlier. Check your Keycloak version using /opt/keycloak/bin/kc version and upgrade if necessary.
Upgrade Keycloak to a patched version that addresses the vulnerability. Consult the official Keycloak advisory for the specific patched version. Consider temporary workarounds like network segmentation if immediate upgrading is not possible.
As of the current assessment, CVE-2026-1518 is not known to be actively exploited in the wild. However, it's crucial to apply the fix proactively to mitigate potential risks.
Refer to the official Keycloak security advisories on the Keycloak website or through their mailing list for the most up-to-date information and guidance regarding CVE-2026-1518.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.