UNKNOWNCVE-2026-4282
CVE-2026-4282: Keycloak 特権昇格脆弱性 - v9.0.3 以前
プラットフォーム
java
コンポーネント
keycloak
修正バージョン
*
Keycloak の SingleUseObjectProvider には、タイプと名前空間の分離が不十分な脆弱性が存在します。この脆弱性を悪用されると、認証されていない攻撃者が不正な認可コードを生成し、管理者権限を持つアクセス トークンを作成することが可能となり、特権昇格につながる可能性があります。影響を受けるバージョンは Keycloak 9.0.3 以前です。26.5.7 でこの問題は修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-4282 とは何ですか?
CVE-2026-4282 は、Keycloak の SingleUseObjectProvider における特権昇格の脆弱性です。攻撃者は不正な認可コードを生成し、管理者権限を持つアクセス トークンを作成できる可能性があります。
私は影響を受けますか?
Keycloak のバージョンが 9.0.3 以前を使用している場合、この脆弱性の影響を受ける可能性があります。
どうすれば修正できますか?
Keycloak をバージョン 26.5.7 以降にアップデートすることで、この脆弱性を修正できます。