Plataforma
java
Componente
org.keycloak:keycloak-services
Corregido en
26.5.7
26.6.1
Se ha descubierto una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en Keycloak Services, afectando a versiones hasta la 26.6.0. Un atacante autenticado puede explotar esta falla manipulando el parámetro clientsessionhost durante las solicitudes de token de actualización. La actualización a la última versión disponible es la solución recomendada para mitigar este riesgo.
La vulnerabilidad SSRF permite a un atacante autenticado realizar solicitudes HTTP desde el contexto de red del servidor Keycloak. Esto significa que el atacante puede potencialmente sondear redes internas o APIs internas a las que el servidor Keycloak tiene acceso. El impacto principal es la divulgación de información sensible que podría estar expuesta en esas redes internas. Un atacante podría, por ejemplo, descubrir la presencia de servicios internos, obtener información sobre su configuración o incluso acceder a datos confidenciales. Aunque la severidad es clasificada como baja, la posibilidad de acceder a recursos internos representa un riesgo significativo, especialmente en entornos donde Keycloak se utiliza como un componente central de la autenticación y autorización.
Esta vulnerabilidad fue publicada el 26 de marzo de 2026. Actualmente, no se ha reportado explotación activa en la naturaleza, pero la naturaleza de SSRF la convierte en un objetivo atractivo para los atacantes. La probabilidad de explotación se considera media, dado que requiere autenticación, pero la complejidad técnica es relativamente baja. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations utilizing Keycloak for authentication and authorization, particularly those with complex internal network architectures or sensitive internal APIs, are at risk. Environments where the backchannel.logout.url is configured with the application.session.host placeholder are especially vulnerable.
• java / server:
# Check for suspicious outbound network connections from the Keycloak process
netstat -an | grep keycloak• java / server:
# Monitor Keycloak logs for unusual HTTP requests or errors related to refresh token processing
grep -i "client_session_host" /path/to/keycloak/logs/keycloak.log• generic web:
# Check for the presence of the 'application.session.host' placeholder in the backchannel.logout.url configuration
# (Requires access to Keycloak configuration files or API)disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Keycloak Services a una versión que contenga la corrección. Si la actualización inmediata no es posible, se recomienda revisar la configuración de los clientes Keycloak y asegurarse de que la opción backchannel.logout.url no utilice el placeholder application.session.host. En su lugar, se debe especificar una URL explícita y segura. Además, se pueden implementar reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes sospechosas que contengan el parámetro clientsessionhost con valores inesperados. Monitorear los registros de Keycloak en busca de solicitudes inusuales o intentos de SSRF también puede ayudar a detectar y prevenir ataques.
Actualice a una versión de Keycloak que haya solucionado la vulnerabilidad SSRF. Consulte las notas de la versión de Red Hat Build of Keycloak para obtener información sobre las versiones corregidas y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4874 is a Server-Side Request Forgery (SSRF) vulnerability affecting Keycloak Services versions up to 26.6.0, allowing authenticated attackers to make HTTP requests from the Keycloak server’s network.
You are affected if you are running Keycloak Services versions 26.6.0 or earlier and have the backchannel.logout.url configured with the application.session.host placeholder.
Upgrade Keycloak Services to a version where the vulnerability has been addressed. Consult the official Keycloak advisory for the specific fixed version.
There are currently no confirmed reports of active exploitation, but the SSRF nature of the vulnerability suggests potential for exploitation.
Refer to the official Keycloak security advisories on the Keycloak website for the latest information and mitigation guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.