LOWCVE-2026-4874CVSS 3.1

KeycloakにおけるOIDCトークンエンドポイントの操作によるサーバーサイドリクエストフォージェリ (SSRF)

Q: CVE-2026-4874 — SSRF in Keycloak Servicesとは何ですか？

CVE-2026-4874は、Keycloak Servicesにおいて、認証済み攻撃者が`client_session_host`パラメータを操作することでSSRFを実行できる脆弱性です。

プラットフォーム

java

コンポーネント

org.keycloak:keycloak-services

修正版

26.5.7

26.6.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Keycloak Servicesにおいて、認証済み攻撃者がclientsessionhostパラメータを操作することで、Server-Side Request Forgery (SSRF) を実行できる脆弱性が発見されました。この脆弱性は、backchannel.logout.urlがapplication.session.hostプレースホルダーを使用しているKeycloakクライアント構成において発生します。影響を受けるバージョンは26.6.0以下です。最新バージョンへのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はKeycloakサーバーのネットワークコンテキストからHTTPリクエストを送信できるようになります。これにより、内部ネットワークや内部APIをスキャンし、機密情報を盗み出すことが可能になります。攻撃者は、内部サービスへの不正アクセス、機密データの窃取、さらには内部ネットワークへの侵入といった攻撃を実行する可能性があります。この脆弱性は、Keycloakが内部リソースにアクセスする際に、攻撃者がそのアクセスを制御できるという点で、潜在的なリスクが高いと考えられます。

悪用の状況

この脆弱性は2026年3月26日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRFは一般的に悪用される脆弱性であり、今後、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations utilizing Keycloak for authentication and authorization, particularly those with complex internal network architectures or sensitive internal APIs, are at risk. Environments where the backchannel.logout.url is configured with the application.session.host placeholder are especially vulnerable.

検出手順翻訳中…

• java / server:

# Check for suspicious outbound network connections from the Keycloak process
netstat -an | grep keycloak

• java / server:

# Monitor Keycloak logs for unusual HTTP requests or errors related to refresh token processing
grep -i "client_session_host" /path/to/keycloak/logs/keycloak.log

• generic web:

# Check for the presence of the 'application.session.host' placeholder in the backchannel.logout.url configuration
# (Requires access to Keycloak configuration files or API)

攻撃タイムライン

2026-03-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントorg.keycloak:keycloak-services

ベンダーosv

影響範囲修正版

26.5.626.5.7

26.6.026.6.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-03-26
公開日2026-03-26
更新日2026-04-13
EPSS 更新日2026-04-02

未パッチ — 公開から59日経過

緩和策と回避策

この脆弱性への対応策として、まずKeycloak Servicesを26.6.0より新しいバージョンにアップデートすることを推奨します。アップデートが困難な場合は、backchannel.logout.urlの設定を慎重に確認し、application.session.hostプレースホルダーの使用を避けるように構成を変更してください。Web Application Firewall (WAF) を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。また、Keycloakサーバーのネットワークアクセスを制限し、不要な外部へのアクセスを遮断することも重要です。

修正方法

SSRF脆弱性が修正されたKeycloakのバージョンにアップデートしてください。修正されたバージョンとアップデート手順については、Red Hat Build of Keycloakのリリースノートを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4874 — SSRF in Keycloak Servicesとは何ですか？

CVE-2026-4874は、Keycloak Servicesにおいて、認証済み攻撃者がclientsessionhostパラメータを操作することでSSRFを実行できる脆弱性です。

CVE-2026-4874 in Keycloak Servicesに影響を受けますか？

Keycloak Servicesのバージョンが26.6.0以下の場合、この脆弱性に影響を受ける可能性があります。

CVE-2026-4874 in Keycloak Servicesを修正するにはどうすればよいですか？

Keycloak Servicesを26.6.0より新しいバージョンにアップデートすることを推奨します。

CVE-2026-4874は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、今後悪用される可能性はあります。

CVE-2026-4874のKeycloak公式アドバイザリはどこで入手できますか？

Keycloakの公式アドバイザリは、Keycloakのウェブサイトで確認できます。