プラットフォーム
java
コンポーネント
keycloak
修正版
26.2.16
26.2.16
26.2.16
26.4.15
Keycloak の SingleUseObjectProvider には、タイプと名前空間の分離が不十分な脆弱性が存在します。この脆弱性を悪用されると、認証されていない攻撃者が不正な認可コードを生成し、管理者権限を持つアクセス トークンを作成することが可能となり、特権昇格につながる可能性があります。影響を受けるバージョンは Keycloak 9.0.3 以前です。26.5.7 でこの問題は修正されました。
Keycloak (Red Hat build 26.2) に、CVE-2026-4282 として分類されるセキュリティ脆弱性が発見されました。CVSS スコアは 7.4 です。この脆弱性は、グローバルなキーバリューストアである SingleUseObjectProvider に存在し、適切な型と名前空間の分離が欠けています。これにより、認証されていない攻撃者が認証コードを偽造できる可能性があり、管理権限を持つアクセス トークンを作成する可能性があります。この脆弱性の悪用が成功すると、権限昇格につながり、Keycloak システムとそれに保護されているリソースのセキュリティが損なわれる可能性があります。このリスクを軽減するために、Keycloak をパッチ適用されたバージョンにできるだけ早く更新することが重要です。
認証されていない攻撃者は、Keycloak サーバーに慎重に作成されたリクエストを送信することで、この脆弱性を悪用できます。SingleUseObjectProvider の型と名前空間の分離がないため、攻撃者は認証コードを操作できます。これにより、管理者権限を付与するアクセス トークンを取得し、Keycloak システム内およびそれに依存するアプリケーションで許可されていないアクションを実行できるようになります。この悪用には、Keycloak の動作と認証 API に関する技術的な知識が必要ですが、事前の認証は必要ありません。この脆弱性の重大な点は、認証なしで権限を昇格できる可能性があることです。
Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those using Keycloak in cloud environments, shared hosting setups, or with legacy integrations where strict access controls may not be enforced. Any deployment using Keycloak versions 26.2.15 and later is potentially vulnerable.
• java / server:
# Monitor Keycloak logs for suspicious authorization code requests or errors related to the SingleUseObjectProvider.
journalctl -u keycloak -f | grep -i "SingleUseObjectProvider"• generic web:
# Check for unusual traffic patterns to Keycloak endpoints related to authorization code generation.
curl -v https://<keycloak_url>/auth/realms/master/protocol/openid-connect/authdisclosure
エクスプロイト状況
EPSS
0.04% (14% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2026-4282 の主な軽減策は、修正を含む Keycloak のバージョンに更新することです。Red Hat はバージョン 26.2 以降のパッチを開発中です。その間は、認証 API へのアクセスを制限したり、Keycloak ログを不審なアクティビティがないか積極的に監視したりするなど、追加のセキュリティ対策を実装することをお勧めします。堅牢なセキュリティポリシー (多要素認証 (MFA) など) を実装することで、悪用が成功した場合の潜在的な影響を軽減できます。具体的な更新情報とセキュリティに関する推奨事項については、Red Hat Keycloak リリースノートを参照してください。
Actualice Keycloak a la versión 26.2.16 o superior, o a la versión 26.4.15 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de aislamiento en el SingleUseObjectProvider que permite la falsificación de códigos de autorización y la escalada de privilegios.
脆弱性分析と重要アラートをメールでお届けします。
この脆弱性は、Red Hat Keycloak バージョン 26.2 に影響を与えます。Red Hat リリースノートを参照して、他のバージョンが脆弱かどうかを確認することをお勧めします。
実行中の Keycloak のバージョンを確認できます。バージョン 26.2 の場合は、脆弱である可能性が高いです。Keycloak ログを攻撃パターンがないか監視することもできます。
すぐに更新できない場合は、認証 API へのアクセスを制限したり、ログ監視を有効にしたりするなど、追加のセキュリティ対策を実装してください。
現時点では、この脆弱性を検出するための特定のツールはありません。ただし、脆弱性スキャンツールは、Keycloak の古いバージョンを識別する可能性があります。
この脆弱性についてさらに詳しい情報は、CVE データベース (CVE-2026-4282) および Red Hat Keycloak リリースノートで入手できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。