प्लेटफ़ॉर्म
java
घटक
org.keycloak:keycloak-services
में ठीक किया गया
26.5.7
26.6.1
Keycloak Services में एक भेद्यता पाई गई है, जो प्रमाणित हमलावरों को SSRF (सर्वर-साइड रिक्वेस्ट फोर्जरी) करने की अनुमति देती है। यह भेद्यता तब उत्पन्न होती है जब clientsessionhost पैरामीटर को रिफ्रेश टोकन अनुरोधों के दौरान हेरफेर किया जाता है। प्रभावित संस्करण 26.6.0 या उससे कम हैं। इस भेद्यता को ठीक करने के लिए Keycloak Services को नवीनतम संस्करण में अपडेट करें।
यह SSRF भेद्यता हमलावरों को Keycloak सर्वर के नेटवर्क संदर्भ से HTTP अनुरोध करने की अनुमति देती है। इसका उपयोग आंतरिक नेटवर्क या आंतरिक APIs को जांचने के लिए किया जा सकता है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है। हमलावर आंतरिक सेवाओं तक पहुंच प्राप्त कर सकते हैं, डेटा चोरी कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां Keycloak सर्वर आंतरिक संसाधनों के साथ संचार करता है। इस भेद्यता का शोषण लॉग4शेल जैसी अन्य SSRF भेद्यताओं के समान पैटर्न का पालन कर सकता है, जिससे आंतरिक सेवाओं पर अनधिकृत पहुंच हो सकती है।
यह CVE अभी हाल ही में प्रकाशित हुआ है (2026-03-26)। सार्वजनिक रूप से उपलब्ध POC अभी तक नहीं हैं, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि जल्दी ही ऐसे उपकरण उपलब्ध हो सकते हैं। CVSS स्कोर LOW है, लेकिन भेद्यता का प्रभाव आंतरिक नेटवर्क तक पहुंच प्रदान करने की क्षमता के कारण महत्वपूर्ण हो सकता है। CISA KEV सूची में शामिल होने की संभावना है क्योंकि यह एक व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर में एक सुरक्षा भेद्यता है।
Organizations utilizing Keycloak for authentication and authorization, particularly those with complex internal network architectures or sensitive internal APIs, are at risk. Environments where the backchannel.logout.url is configured with the application.session.host placeholder are especially vulnerable.
• java / server:
# Check for suspicious outbound network connections from the Keycloak process
netstat -an | grep keycloak• java / server:
# Monitor Keycloak logs for unusual HTTP requests or errors related to refresh token processing
grep -i "client_session_host" /path/to/keycloak/logs/keycloak.log• generic web:
# Check for the presence of the 'application.session.host' placeholder in the backchannel.logout.url configuration
# (Requires access to Keycloak configuration files or API)disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Keycloak Services को 26.6.0 से ऊपर के नवीनतम संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो SSRF हमलों को ब्लॉक कर सके। WAF को clientsessionhost पैरामीटर के लिए आने वाले अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर करें। इसके अतिरिक्त, Keycloak सर्वर के नेटवर्क को सुरक्षित करने के लिए आंतरिक नेटवर्क सेगमेंटेशन लागू करें। Keycloak कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि backchannel.logout.url जैसे संवेदनशील सेटिंग्स को सुरक्षित रूप से कॉन्फ़िगर किया गया है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, Keycloak सर्वर पर SSRF हमलों का अनुकरण करें।
एक ऐसे कीक्लोक संस्करण में अपडेट करें जिसने SSRF भेद्यता को ठीक कर दिया है। सुधारात्मक संस्करणों और अपडेट निर्देशों के लिए Red Hat Build of Keycloak के रिलीज़ नोट्स देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-4874 Keycloak Services में एक SSRF भेद्यता है जो प्रमाणित हमलावरों को आंतरिक नेटवर्क तक पहुंचने की अनुमति देती है।
यदि आप Keycloak Services के संस्करण 26.6.0 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Keycloak Services को 26.6.0 से ऊपर के नवीनतम संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें।
CVE-2026-4874 अभी हाल ही में प्रकाशित हुआ है, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि जल्दी ही इसका शोषण किया जा सकता है।
Keycloak की आधिकारिक वेबसाइट पर जाएं और सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।