Platform
java
Component
org.keycloak:keycloak-services
Opgelost in
26.5.7
CVE-2026-4634 is een Denial of Service (DoS) kwetsbaarheid in Keycloak. Een niet-geauthenticeerde aanvaller kan een speciaal vervaardigd POST-verzoek met een buitensporig lange scope-parameter naar het OpenID Connect (OIDC) token endpoint sturen. Dit leidt tot een hoog resourceverbruik en lange verwerkingstijden, wat resulteert in een DoS voor de Keycloak-server. De kwetsbaarheid treft Keycloak versies 26.2 en hoger. Update naar de nieuwste versie om dit probleem te verhelpen.
Een Denial of Service (DoS) kwetsbaarheid is geïdentificeerd in Keycloak (Red Hat build 26.2), gecatalogiseerd als CVE-2026-4634. Een niet-geauthenticeerde aanvaller kan deze fout uitbuiten door een speciaal opgebouwde POST-verzoek te sturen met een overmatig lange scope parameter naar het OpenID Connect (OIDC) token endpoint. Het manipuleren van de 'scope' parameter leidt tot een hoog resourceverbruik van de server en langere verwerkingstijden, wat uiteindelijk kan leiden tot een Keycloak server storing. De CVSS score is 7.5, wat een significant risico aangeeft. Het is cruciaal om te upgraden naar versie 26.5.7 om dit risico te mitigeren.
De kwetsbaarheid wordt uitgebuit door een POST-verzoek naar het OIDC token endpoint te sturen met een ongewoon lange 'scope' parameter. Er is geen authenticatie vereist om deze aanval uit te voeren, waardoor deze gemakkelijker te exploiteren is. Een aanvaller kan meerdere verzoeken tegelijkertijd sturen om de impact van de DoS-aanval te vergroten. De kwetsbaarheid ligt in de manier waarop Keycloak de 'scope' parameter verwerkt en valideert, waardoor een aanvaller de serverresources kan uitputten.
Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those deploying Keycloak in production environments, particularly those with limited security controls or monitoring in place. Shared hosting environments where multiple applications share a Keycloak instance are also at increased risk, as a compromised application could be used to launch a DoS attack against the Keycloak server.
• java / server:
# Monitor Keycloak logs for unusually long processing times related to OIDC token requests.
journalctl -u keycloak -f | grep "OIDC token request processing time"• java / server:
# Check Keycloak server resource utilization (CPU, memory) for spikes.
top• generic web:
# Use curl to test the OIDC token endpoint with a long scope parameter and monitor response times.
curl -X POST -d 'scope=A' -d 'grant_type=authorization_code' https://<keycloak_server>/auth/realms/<realm>/protocol/openid-connect/tokendisclosure
patch
Exploit Status
EPSS
0.09% (25% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om te upgraden naar Keycloak versie 26.5.7 of hoger. Deze versie bevat een fix die de exploitatie van CVE-2026-4634 voorkomt. Als tijdelijke maatregel kunt u een strikte limiet implementeren op de lengte van de 'scope' parameter aan het OIDC token endpoint. Deze tijdelijke oplossing kan echter de functionaliteit van legitieme applicaties die lange scopes vereisen, beïnvloeden en is geen vervanging voor het upgraden. We raden ten zeerste aan om te upgraden naar de nieuwste stabiele versie om de veiligheid en stabiliteit van de Keycloak server te waarborgen.
Actualizar Keycloak a una versión posterior a las afectadas. Consultar los avisos de seguridad de Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) para obtener la versión corregida específica para su instalación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OIDC is een identiteitslaag gebouwd op het OAuth 2.0 protocol. Het stelt web- en mobiele applicaties in staat om gebruikers te authenticeren en basis profielinformatie te verkrijgen zonder gebruikersinloggegevens op te slaan.
Het updaten van Keycloak is cruciaal om uw server te beschermen tegen beveiligingskwetsbaarheden zoals CVE-2026-4634. Het niet updaten kan uw systeem kwetsbaar maken voor DoS-aanvallen.
Een CVSS score van 7.5 duidt op een 'Hoog' risico. Dit betekent dat de kwetsbaarheid uitbuitbaar is en een aanzienlijke impact kan hebben op de beschikbaarheid van de dienst.
Als tijdelijke maatregel kunt u de lengte van de 'scope' parameter aan het OIDC token endpoint beperken. Dit kan echter de functionaliteit van legitieme applicaties beïnvloeden en is geen permanente oplossing.
U kunt meer informatie over deze kwetsbaarheid vinden in kwetsbaarheidsdatabases, zoals de National Vulnerability Database (NVD) van NIST.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.