प्लेटफ़ॉर्म
java
घटक
keycloak
में ठीक किया गया
26.2.15
26.2.15
26.4.14
CVE-2026-4325 is a security vulnerability discovered in Keycloak related to the SingleUseObjectProvider, a global key-value store. Due to a lack of proper type and namespace isolation, an attacker can delete arbitrary single-use entries, potentially leading to the replay of consumed action tokens like password reset links and subsequent unauthorized access or account compromise. This vulnerability impacts Keycloak versions 26.2.15 and above, and a fix is expected in a future release.
Keycloak (Red Hat Build संस्करण 26.2) में एक सुरक्षा भेद्यता की पहचान की गई है, जिसका CVE ID CVE-2026-4325 है। यह दोष वैश्विक कुंजी-मूल्य स्टोर SingleUseObjectProvider घटक में मौजूद है। उचित प्रकार और नामस्थान अलगाव की कमी के कारण, एक हमलावर मनमाना एकल-उपयोग प्रविष्टियों को हटा सकता है। यह खपत किए गए कार्रवाई टोकन, जैसे पासवर्ड रीसेट लिंक को फिर से चलाने की अनुमति दे सकता है, जिससे अनधिकृत पहुंच या खाता समझौता हो सकता है। CVSS स्कोर 5.3 है, जो मध्यम जोखिम दर्शाता है। इस जोखिम को कम करने के लिए सिस्टम प्रशासकों को जल्द से जल्द Keycloak को पैच किए गए संस्करण में अपडेट करना महत्वपूर्ण है।
Keycloak तक पहुंच रखने वाला एक हमलावर, चाहे सिस्टम के किसी अन्य हिस्से में भेद्यता के माध्यम से या समझौता किए गए क्रेडेंशियल्स के माध्यम से, इस भेद्यता का फायदा उठा सकता है। हमलावर SingleUseObjectProvider को पहले से उपयोग किए गए पासवर्ड रीसेट टोकन को हटाने के लिए हेरफेर कर सकता है। फिर, वे इन टोकन को उपयोगकर्ता खाते के पासवर्ड को रीसेट करने के लिए फिर से उपयोग कर सकते हैं, जिससे अनधिकृत पहुंच प्राप्त हो सकती है। शोषण के लिए अंतर्निहित ऑपरेटिंग सिस्टम पर बढ़े हुए विशेषाधिकारों की आवश्यकता नहीं होती है, लेकिन Keycloak वातावरण तक पहुंच की आवश्यकता होती है। शोषण की जटिलता Keycloak कॉन्फ़िगरेशन और मौजूदा सुरक्षा उपायों पर निर्भर करती है। प्रकार और नामस्थान अलगाव की कमी से एकल-उपयोग ऑब्जेक्ट स्टोर के हेरफेर को सरल बनाया जाता है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान Keycloak को उस संस्करण में अपडेट करना है जिसमें CVE-2026-4325 के लिए फिक्स शामिल है। Red Hat एक पैच पर काम कर रहा है और यह जल्द ही उपलब्ध होने की उम्मीद है। इस बीच, एक अस्थायी शमन उपाय के रूप में, SingleUseObjectProvider के लिए एक्सेस अनुमतियों की समीक्षा करें और उन्हें प्रतिबंधित करें। इसके अतिरिक्त, संदिग्ध गतिविधि, जैसे असामान्य प्रविष्टि विलोपन या टोकन को फिर से चलाने के प्रयासों के लिए Keycloak लॉग की निगरानी करें। उपयोगकर्ताओं को बहु-कारक प्रमाणीकरण (MFA) को लागू करने की सलाह दी जाती है ताकि सुरक्षा की एक अतिरिक्त परत जोड़ी जा सके, भले ही भेद्यता का फायदा उठाया जाए। अपने Keycloak वातावरण की सुरक्षा के लिए सॉफ़्टवेयर को अपडेट रखना और सुरक्षा सर्वोत्तम प्रथाओं का पालन करना आवश्यक है।
Actualice Keycloak a la versión 26.2.15 o superior, o a la versión 26.4.14 o superior. Esta actualización corrige una vulnerabilidad que permite a un atacante eliminar entradas de uso único, lo que podría permitir la repetición de tokens de acción consumidos, como los enlaces de restablecimiento de contraseña, lo que podría conducir a un acceso no autorizado o al compromiso de la cuenta.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह Keycloak का एक घटक है जो पासवर्ड रीसेट टोकन जैसे एकल-उपयोग डेटा को अस्थायी रूप से संग्रहीत करता है।
यह हमलावरों को उनके सहमति के बिना उपयोगकर्ताओं के पासवर्ड रीसेट करने की अनुमति दे सकता है, जिससे उनके खाते खतरे में पड़ सकते हैं।
SingleUseObjectProvider तक पहुंच को प्रतिबंधित करना और बहु-कारक प्रमाणीकरण (MFA) को सक्षम करना अस्थायी उपाय हैं।
Red Hat एक पैच पर काम कर रहा है और यह जल्द ही उपलब्ध होने की उम्मीद है। अपडेट के लिए Red Hat के आधिकारिक स्रोतों की जांच करें।
तुरंत अपना पासवर्ड बदलें और घटना की जांच के लिए अपने Keycloak व्यवस्थापक से संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।