Platform
java
Component
keycloak
Opgelost in
26.2.16
26.2.16
26.2.16
26.4.15
CVE-2026-4282 is een Privilege Escalatie kwetsbaarheid in Keycloak. De SingleUseObjectProvider mist type- en namespace-isolatie, waardoor een ongeauthenticeerde aanvaller autorisatiecodes kan vervalsen. Dit kan leiden tot admin-capable access tokens, wat resulteert in privilege escalatie. Alle versies van Keycloak zijn getroffen. De kwetsbaarheid is opgelost in alle versies.
Een beveiligingslek is geïdentificeerd in Keycloak (Red Hat build 26.2), gecatalogiseerd als CVE-2026-4282, met een CVSS-score van 7.4. Dit lek bevindt zich in de SingleUseObjectProvider, een globale key-value store, die geen adequate type- en namespace-isolatie biedt. Dit stelt een niet-geauthenticeerde aanvaller in staat om autorisat codes te vervalsen, wat kan leiden tot de creatie van toegangs tokens met administratorrechten. Een succesvolle exploitatie van dit lek kan leiden tot privilege escalatie, waardoor de beveiliging van het Keycloak-systeem en de resources die het beschermt in gevaar komt. Het is cruciaal om Keycloak zo snel mogelijk te updaten naar een gepatchte versie om dit risico te beperken.
Een niet-geauthenticeerde aanvaller kan dit lek exploiteren door zorgvuldig samengestelde verzoeken naar de Keycloak server te sturen. Het ontbreken van type- en namespace-isolatie in SingleUseObjectProvider stelt de aanvaller in staat om autorisat codes te manipuleren. Dit kan worden gebruikt om toegangs tokens te verkrijgen die administratorrechten verlenen, waardoor de aanvaller onbevoegde acties binnen het Keycloak-systeem en de applicaties die ervan afhankelijk zijn kan uitvoeren. Exploitatie vereist technische kennis van de werking van Keycloak en de autorisatief API, maar vereist geen voorafgaande authenticatie. De ernst van het lek ligt in de mogelijkheid van privilege escalatie zonder authenticatie.
Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those using Keycloak in cloud environments, shared hosting setups, or with legacy integrations where strict access controls may not be enforced. Any deployment using Keycloak versions 26.2.15 and later is potentially vulnerable.
• java / server:
# Monitor Keycloak logs for suspicious authorization code requests or errors related to the SingleUseObjectProvider.
journalctl -u keycloak -f | grep -i "SingleUseObjectProvider"• generic web:
# Check for unusual traffic patterns to Keycloak endpoints related to authorization code generation.
curl -v https://<keycloak_url>/auth/realms/master/protocol/openid-connect/authdisclosure
Exploit Status
EPSS
0.04% (14% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4282 is het updaten naar een versie van Keycloak die de fix bevat. Red Hat werkt aan een patch voor versie 26.2 en latere versies. In de tussentijd wordt aanbevolen om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot de autorisatief API en het actief monitoren van Keycloak logs op verdachte activiteiten. Het implementeren van robuuste beveiligingsbeleidsregels, inclusief multi-factor authenticatie (MFA), kan helpen om de potentiële impact van een succesvolle exploitatie te verminderen. Raadpleeg de Red Hat Keycloak release notes voor specifieke update-informatie en beveiligingsaanbevelingen.
Actualice Keycloak a la versión 26.2.16 o superior, o a la versión 26.4.15 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de aislamiento en el SingleUseObjectProvider que permite la falsificación de códigos de autorización y la escalada de privilegios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het lek treft Red Hat Keycloak versie 26.2. Het wordt aanbevolen om te controleren of andere versies kwetsbaar zijn door de Red Hat release notes te raadplegen.
U kunt de versie van Keycloak controleren die u draait. Als het versie 26.2 is, is het waarschijnlijk kwetsbaar. U kunt ook de Keycloak-logs monitoren op aanvalspatronen.
Als u Keycloak niet direct kunt updaten, implementeer dan aanvullende beveiligingsmaatregelen, zoals het beperken van de toegang tot de autorisatief API en het inschakelen van log monitoring.
Momenteel zijn er geen specifieke tools om dit lek te detecteren. Vulnerability scanning tools kunnen echter verouderde versies van Keycloak identificeren.
U kunt meer informatie over dit lek vinden in de CVE-database (CVE-2026-4282) en de Red Hat Keycloak release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.