Plateforme
java
Composant
org.keycloak:keycloak-services
Corrigé dans
26.5.7
La CVE-2026-4634 est une vulnérabilité de type Denial of Service (DoS) affectant Keycloak. Un attaquant non authentifié peut exploiter cette faille en envoyant une requête POST spécialement conçue avec un paramètre 'scope' excessivement long au point de terminaison OpenID Connect (OIDC). Cela entraîne une consommation élevée de ressources et des temps de traitement prolongés, conduisant à un déni de service pour le serveur Keycloak. Cette vulnérabilité affecte les versions 26.2-* de Keycloak. Un correctif est disponible.
Une vulnérabilité de Déni de Service (DoS) a été identifiée dans Keycloak (version Red Hat 26.2), répertoriée sous le nom de CVE-2026-4634. Un attaquant non authentifié peut exploiter cette faille en envoyant une requête POST spécialement conçue avec un paramètre de portée (scope) excessivement long vers le point de terminaison de jeton OpenID Connect (OIDC). La manipulation du paramètre 'scope' entraîne une forte consommation de ressources serveur et des temps de traitement prolongés, pouvant entraîner une interruption du serveur Keycloak. Le score CVSS est de 7,5, ce qui indique un risque important. Il est crucial de mettre à niveau vers la version 26.5.7 pour atténuer ce risque.
La vulnérabilité est exploitée en envoyant une requête POST au point de terminaison de jeton OIDC avec un paramètre 'scope' anormalement long. L'authentification n'est pas requise pour effectuer cette attaque, ce qui la rend plus facile à exploiter. Un attaquant peut envoyer plusieurs requêtes simultanément pour amplifier l'impact de l'attaque DoS. La vulnérabilité réside dans la façon dont Keycloak traite et valide le paramètre 'scope', permettant à un attaquant d'épuiser les ressources du serveur.
Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those deploying Keycloak in production environments, particularly those with limited security controls or monitoring in place. Shared hosting environments where multiple applications share a Keycloak instance are also at increased risk, as a compromised application could be used to launch a DoS attack against the Keycloak server.
• java / server:
# Monitor Keycloak logs for unusually long processing times related to OIDC token requests.
journalctl -u keycloak -f | grep "OIDC token request processing time"• java / server:
# Check Keycloak server resource utilization (CPU, memory) for spikes.
top• generic web:
# Use curl to test the OIDC token endpoint with a long scope parameter and monitor response times.
curl -X POST -d 'scope=A' -d 'grant_type=authorization_code' https://<keycloak_server>/auth/realms/<realm>/protocol/openid-connect/tokendisclosure
patch
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau vers la version 26.5.7 de Keycloak ou ultérieure. Cette version inclut une correction qui empêche l'exploitation de CVE-2026-4634. En tant que mesure temporaire, vous pouvez implémenter une limite stricte sur la longueur du paramètre 'scope' au point de terminaison de jeton OIDC. Cependant, cette solution temporaire peut affecter la fonctionnalité des applications légitimes nécessitant des portées longues et ne remplace pas la mise à niveau. Nous recommandons vivement de mettre à niveau vers la dernière version stable afin d'assurer la sécurité et la stabilité du serveur Keycloak.
Actualizar Keycloak a una versión posterior a las afectadas. Consultar los avisos de seguridad de Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) para obtener la versión corregida específica para su instalación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OIDC est une couche d'identité construite sur le protocole OAuth 2.0. Il permet aux applications web et mobiles d'authentifier les utilisateurs et d'obtenir des informations de base sur le profil sans avoir à stocker les informations d'identification de l'utilisateur.
Mettre à jour Keycloak est essentiel pour protéger votre serveur contre les vulnérabilités de sécurité telles que CVE-2026-4634. Ne pas mettre à jour peut laisser votre système vulnérable aux attaques DoS.
Un score CVSS de 7,5 indique un risque « élevé ». Cela signifie que la vulnérabilité est exploitable et peut avoir un impact significatif sur la disponibilité du service.
En tant que mesure temporaire, vous pouvez limiter la longueur du paramètre 'scope' au point de terminaison de jeton OIDC. Cependant, cela peut affecter la fonctionnalité des applications légitimes et n'est pas une solution permanente.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans les bases de données de vulnérabilités, telles que la base de données nationale des vulnérabilités (NVD) du NIST.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.