Keycloak: keycloak: ओपनआईडी कनेक्ट स्कोप पैरामीटर की अत्यधिक प्रोसेसिंग के माध्यम से सेवा से इनकार (denial of service)

Keycloak (Red Hat build 26.2) में एक सेवा से इनकार (DoS) भेद्यता की पहचान की गई है, जिसे CVE-2026-4634 के रूप में वर्गीकृत किया गया है। एक अनधिकृत हमलावर OpenID Connect (OIDC) टोकन एंडपॉइंट पर अत्यधिक लंबे दायरे पैरामीटर के साथ एक विशेष रूप से तैयार किए गए POST अनुरोध को भेजकर इस भेद्यता का फायदा उठा सकता है। दायरे पैरामीटर में हेरफेर करने से सर्वर संसाधनों की खपत और प्रसंस्करण समय बढ़ सकता है, जिसके परिणामस्वरूप Keycloak सर्वर का व्यवधान हो सकता है। CVSS स्कोर 7.5 है, जो एक महत्वपूर्ण जोखिम दर्शाता है। इस जोखिम को कम करने के लिए संस्करण 26.5.7 में अपग्रेड करना महत्वपूर्ण है।

Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those deploying Keycloak in production environments, particularly those with limited security controls or monitoring in place. Shared hosting environments where multiple applications share a Keycloak instance are also at increased risk, as a compromised application could be used to launch a DoS attack against the Keycloak server.

• java / server:

# Monitor Keycloak logs for unusually long processing times related to OIDC token requests.
journalctl -u keycloak -f | grep "OIDC token request processing time"

• java / server:

# Check Keycloak server resource utilization (CPU, memory) for spikes.
top

• generic web:

# Use curl to test the OIDC token endpoint with a long scope parameter and monitor response times.
curl -X POST -d 'scope=A' -d 'grant_type=authorization_code' https://<keycloak_server>/auth/realms/<realm>/protocol/openid-connect/token

1. 2026-04-02Disclosure

   disclosure

2. 2026-05-07Patch

   patch

1. आरक्षित2026-03-23
2. प्रकाशित2026-04-02
3. संशोधित2026-04-04
4. EPSS अद्यतन2026-04-10

अनुशंसित समाधान Keycloak को संस्करण 26.5.7 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो CVE-2026-4634 के शोषण को रोकता है। एक अस्थायी उपाय के रूप में, आप OIDC टोकन एंडपॉइंट पर दायरे पैरामीटर की लंबाई पर सख्त सीमा लागू कर सकते हैं। हालाँकि, यह अस्थायी समाधान वैध अनुप्रयोगों की कार्यक्षमता को प्रभावित कर सकता है जिन्हें लंबे दायरे की आवश्यकता होती है और यह अपग्रेड का विकल्प नहीं है। Keycloak सर्वर की सुरक्षा और स्थिरता सुनिश्चित करने के लिए नवीनतम स्थिर संस्करण में अपग्रेड करने की पुरजोर अनुशंसा की जाती है।