प्लेटफ़ॉर्म
java
घटक
keycloak
में ठीक किया गया
26.2.16
26.2.16
26.2.16
26.4.15
Keycloak में एक विशेषाधिकार वृद्धि भेद्यता पाई गई है, जहाँ SingleUseObjectProvider में उचित प्रकार और नेमस्पेस अलगाव का अभाव है। इसका फायदा उठाकर, एक अनधिकृत हमलावर प्राधिकरण कोड बना सकता है, जिससे संभावित रूप से व्यवस्थापक-सक्षम एक्सेस टोकन उत्पन्न हो सकते हैं। यह भेद्यता Keycloak के 9.0.3 और उससे पहले के संस्करणों को प्रभावित करती है। 26.5.7 संस्करण में इस समस्या का समाधान किया गया है।
Keycloak (Red Hat build 26.2) में एक सुरक्षा भेद्यता (vulnerability) की पहचान की गई है, जिसे CVE-2026-4282 के रूप में वर्गीकृत किया गया है, और इसका CVSS स्कोर 7.4 है। यह भेद्यता वैश्विक कुंजी-मान स्टोर (key-value store) SingleUseObjectProvider में मौजूद है, जिसमें उचित प्रकार (type) और नेमस्पेस (namespace) अलगाव (isolation) का अभाव है। यह एक गैर-प्रमाणित (unauthenticated) हमलावर को प्राधिकरण कोड (authorization code) को जाली बनाने की अनुमति देता है, जिससे व्यवस्थापक (administrator) विशेषाधिकारों के साथ एक्सेस टोकन (access token) बनाने की संभावना है। इस भेद्यता का सफल शोषण (exploitation) विशेषाधिकार वृद्धि (privilege escalation) का कारण बन सकता है, जिससे Keycloak सिस्टम और उसके द्वारा संरक्षित संसाधनों की सुरक्षा से समझौता हो सकता है। इस जोखिम को कम करने के लिए, Keycloak को जल्द से जल्द पैच (patch) किए गए संस्करण में अपडेट करना महत्वपूर्ण है।
एक गैर-प्रमाणित हमलावर Keycloak सर्वर को सावधानीपूर्वक तैयार किए गए अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। SingleUseObjectProvider में प्रकार और नेमस्पेस अलगाव की कमी हमलावर को प्राधिकरण कोड में हेरफेर करने की अनुमति देती है। इसका उपयोग व्यवस्थापक विशेषाधिकार प्रदान करने वाले एक्सेस टोकन प्राप्त करने के लिए किया जा सकता है, जिससे हमलावर Keycloak सिस्टम और उस पर निर्भर अनुप्रयोगों में अनधिकृत कार्रवाई कर सकता है। इस शोषण के लिए Keycloak के संचालन और प्राधिकरण API के बारे में तकनीकी ज्ञान की आवश्यकता होती है, लेकिन पूर्व प्रमाणीकरण की आवश्यकता नहीं होती है। इस भेद्यता की गंभीरता विशेषाधिकार वृद्धि की संभावना में निहित है, बिना प्रमाणीकरण के।
Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those using Keycloak in cloud environments, shared hosting setups, or with legacy integrations where strict access controls may not be enforced. Any deployment using Keycloak versions 26.2.15 and later is potentially vulnerable.
• java / server:
# Monitor Keycloak logs for suspicious authorization code requests or errors related to the SingleUseObjectProvider.
journalctl -u keycloak -f | grep -i "SingleUseObjectProvider"• generic web:
# Check for unusual traffic patterns to Keycloak endpoints related to authorization code generation.
curl -v https://<keycloak_url>/auth/realms/master/protocol/openid-connect/authdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (14% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-4282 के लिए प्राथमिक शमन (mitigation) Keycloak को उस संस्करण में अपडेट करना है जिसमें फिक्स (fix) शामिल है। Red Hat संस्करण 26.2 और बाद के संस्करणों के लिए पैच पर काम कर रहा है। इस बीच, प्राधिकरण API तक पहुंच को प्रतिबंधित करने और संदिग्ध गतिविधि के लिए Keycloak लॉग की सक्रिय रूप से निगरानी करने जैसे अतिरिक्त सुरक्षा उपाय लागू करने की सिफारिश की जाती है। मजबूत सुरक्षा नीतियों को लागू करना, जिसमें बहु-कारक प्रमाणीकरण (multi-factor authentication - MFA) शामिल है, सफल शोषण के संभावित प्रभाव को कम करने में मदद कर सकता है। विशिष्ट अपडेट जानकारी और सुरक्षा सिफारिशों के लिए Red Hat Keycloak रिलीज़ नोट्स देखें।
Actualice Keycloak a la versión 26.2.16 o superior, o a la versión 26.4.15 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de aislamiento en el SingleUseObjectProvider que permite la falsificación de códigos de autorización y la escalada de privilegios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह भेद्यता Red Hat Keycloak संस्करण 26.2 को प्रभावित करती है। Red Hat रिलीज़ नोट्स की जांच करके यह पता लगाने की सिफारिश की जाती है कि अन्य संस्करण कमजोर हैं या नहीं।
आप यह जांच सकते हैं कि आप Keycloak का कौन सा संस्करण चला रहे हैं। यदि यह संस्करण 26.2 है, तो यह संभवतः कमजोर है। आप हमले के पैटर्न के लिए Keycloak लॉग की भी निगरानी कर सकते हैं।
यदि आप तुरंत Keycloak को अपडेट नहीं कर सकते हैं, तो प्राधिकरण API तक पहुंच को प्रतिबंधित करने और लॉग निगरानी को सक्षम करने जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। हालांकि, भेद्यता स्कैनिंग उपकरण Keycloak के पुराने संस्करणों की पहचान कर सकते हैं।
आप CVE डेटाबेस (CVE-2026-4282) और Red Hat Keycloak रिलीज़ नोट्स में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।