プラットフォーム
java
コンポーネント
org.keycloak:keycloak-services
修正版
26.5.7
CVE-2026-4634はKeycloakにおけるサービス拒否(DoS)の脆弱性です。この脆弱性を悪用すると、認証されていない攻撃者がOpenID Connect (OIDC)トークンエンドポイントに過度に長いscopeパラメータを持つ特別に細工されたPOSTリクエストを送信することで、Keycloakサーバーのリソースを過剰に消費させ、処理時間を長引かせ、最終的にサービス拒否(DoS)を引き起こす可能性があります。影響を受けるバージョンは26.2-*です。修正済み。
Keycloak (Red Hat build 26.2) に、CVE-2026-4634 として分類されるサービス拒否 (DoS) の脆弱性が発見されました。認証されていない攻撃者は、OpenID Connect (OIDC) トークンエンドポイントに、過度に長いスコープパラメータを持つ特別に細工された POST リクエストを送信することで、この脆弱性を悪用できます。スコープパラメータの操作により、サーバーのリソース消費量が増加し、処理時間が長くなり、Keycloak サーバーが停止する可能性があります。CVSS スコアは 7.5 で、重大なリスクを示しています。このリスクを軽減するには、バージョン 26.5.7 にアップグレードすることが重要です。
この脆弱性は、OIDC トークンエンドポイントに異常に長い 'scope' パラメータを持つ POST リクエストを送信することで悪用されます。この攻撃を実行するには認証は必要ありません。攻撃者は、DoS 攻撃の影響を増幅させるために、複数のリクエストを同時に送信できます。この脆弱性は、Keycloak が 'scope' パラメータをどのように処理および検証するかという点にあり、攻撃者がサーバーのリソースを枯渇させることを可能にします。
Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those deploying Keycloak in production environments, particularly those with limited security controls or monitoring in place. Shared hosting environments where multiple applications share a Keycloak instance are also at increased risk, as a compromised application could be used to launch a DoS attack against the Keycloak server.
• java / server:
# Monitor Keycloak logs for unusually long processing times related to OIDC token requests.
journalctl -u keycloak -f | grep "OIDC token request processing time"• java / server:
# Check Keycloak server resource utilization (CPU, memory) for spikes.
top• generic web:
# Use curl to test the OIDC token endpoint with a long scope parameter and monitor response times.
curl -X POST -d 'scope=A' -d 'grant_type=authorization_code' https://<keycloak_server>/auth/realms/<realm>/protocol/openid-connect/tokendisclosure
patch
エクスプロイト状況
EPSS
0.09% (25% パーセンタイル)
CISA SSVC
CVSS ベクトル
推奨される解決策は、Keycloak をバージョン 26.5.7 以降にアップグレードすることです。このバージョンには、CVE-2026-4634 の悪用を防ぐ修正が含まれています。一時的な対策として、OIDC トークンエンドポイントでスコープパラメータの長さに厳密な制限を実装できます。ただし、この一時的な解決策は、長いスコープを必要とする正当なアプリケーションの機能を損なう可能性があり、アップグレードの代わりにはなりません。Keycloak サーバーのセキュリティと安定性を確保するために、最新の安定バージョンにアップグレードすることを強くお勧めします。
Actualizar Keycloak a una versión posterior a las afectadas. Consultar los avisos de seguridad de Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) para obtener la versión corregida específica para su instalación.
脆弱性分析と重要アラートをメールでお届けします。
OIDC は、OAuth 2.0 プロトコル上に構築されたアイデンティティレイヤーです。これにより、Web およびモバイルアプリケーションは、ユーザーの認証情報を保存する必要なく、ユーザーを認証し、基本的なプロファイル情報を取得できます。
Keycloak を更新することは、CVE-2026-4634 のようなセキュリティ脆弱性からサーバーを保護するために重要です。更新しないと、システムが DoS 攻撃に対して脆弱になる可能性があります。
CVSS スコア 7.5 は、「高」リスクを示します。これは、脆弱性が悪用可能であり、サービスの可用性に大きな影響を与える可能性があることを意味します。
一時的な対策として、OIDC トークンエンドポイントで 'scope' パラメータの長さを制限できます。ただし、これは正当なアプリケーションの機能を損なう可能性があり、永続的な解決策ではありません。
この脆弱性に関する詳細については、NIST の National Vulnerability Database (NVD) などの脆弱性データベースで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。