Plateforme
java
Composant
org.keycloak:keycloak-services
Corrigé dans
26.5.7
26.6.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été identifiée dans Keycloak Services. Cette faille permet à un attaquant authentifié d'effectuer des requêtes HTTP à partir du contexte réseau du serveur Keycloak, potentiellement en sondant des réseaux internes ou des API internes. Elle affecte les versions de Keycloak Services inférieures ou égales à 26.6.0. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de lancer des requêtes HTTP arbitraires depuis le serveur Keycloak. Cela peut être utilisé pour sonder des ressources internes qui ne sont pas accessibles depuis l'extérieur, telles que des bases de données, des serveurs d'applications ou des API internes. L'attaquant peut ainsi obtenir des informations sensibles, compromettre la confidentialité des données ou même accéder à des fonctionnalités non autorisées. Le risque est amplifié si Keycloak est configuré pour utiliser le backchannel.logout.url avec le placeholder application.session.host, car cela facilite l'exploitation de la faille. Bien que la CVSS soit classée comme LOW, l'impact potentiel sur la confidentialité des données internes est significatif.
Cette vulnérabilité a été rendue publique le 26 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de sa présence dans le catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en raison de la nécessité d'une authentification préalable et de la configuration spécifique requise pour exploiter la vulnérabilité. Aucun Proof of Concept (PoC) public n'est actuellement disponible.
Organizations utilizing Keycloak for authentication and authorization, particularly those with complex internal network architectures or sensitive internal APIs, are at risk. Environments where the backchannel.logout.url is configured with the application.session.host placeholder are especially vulnerable.
• java / server:
# Check for suspicious outbound network connections from the Keycloak process
netstat -an | grep keycloak• java / server:
# Monitor Keycloak logs for unusual HTTP requests or errors related to refresh token processing
grep -i "client_session_host" /path/to/keycloak/logs/keycloak.log• generic web:
# Check for the presence of the 'application.session.host' placeholder in the backchannel.logout.url configuration
# (Requires access to Keycloak configuration files or API)disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Keycloak Services vers une version corrigée. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à désactiver l'utilisation du placeholder application.session.host dans la configuration de backchannel.logout.url. Il est également recommandé de mettre en place des règles de pare-feu ou de proxy inverse pour limiter les requêtes sortantes du serveur Keycloak à des destinations autorisées. Surveillez attentivement les journaux d'accès et d'erreur de Keycloak pour détecter toute activité suspecte, notamment des requêtes HTTP vers des destinations inattendues. Après la mise à jour, vérifiez la configuration de backchannel.logout.url pour vous assurer qu'elle n'utilise plus le placeholder vulnérable.
Mettez à jour vers une version de Keycloak qui a corrigé la vulnérabilité SSRF. Consultez les notes de publication de Red Hat Build of Keycloak pour obtenir des informations sur les versions corrigées et les instructions de mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4874 is a Server-Side Request Forgery (SSRF) vulnerability affecting Keycloak Services versions up to 26.6.0, allowing authenticated attackers to make HTTP requests from the Keycloak server’s network.
You are affected if you are running Keycloak Services versions 26.6.0 or earlier and have the backchannel.logout.url configured with the application.session.host placeholder.
Upgrade Keycloak Services to a version where the vulnerability has been addressed. Consult the official Keycloak advisory for the specific fixed version.
There are currently no confirmed reports of active exploitation, but the SSRF nature of the vulnerability suggests potential for exploitation.
Refer to the official Keycloak security advisories on the Keycloak website for the latest information and mitigation guidance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.