Platform
java
Component
org.keycloak:keycloak-services
Opgelost in
26.5.7
CVE-2026-4636 is een kwetsbaarheid in Keycloak Services die het mogelijk maakt voor geauthenticeerde gebruikers met de 'uma_protection' rol om User-Managed Access (UMA) beleidsvalidatie te omzeilen. Dit stelt aanvallers in staat om resource identifiers van andere gebruikers in een beleid creatie verzoek op te nemen, zelfs als de URL een resource van de aanvaller aangeeft. De kwetsbaarheid treft versies van Keycloak Services tot en met 9.0.3. Een upgrade naar versie 26.5.7 is vereist om dit probleem te verhelpen.
Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang te krijgen tot resources die eigendom zijn van andere gebruikers binnen de Keycloak omgeving. Door UMA-beleidsvalidatie te omzeilen, kan de aanvaller een Requesting Party Token (RPT) verkrijgen en vervolgens gevoelige informatie inwinnen of ongeautoriseerde acties uitvoeren namens andere gebruikers. De impact kan variëren afhankelijk van de gevoeligheid van de resources die via Keycloak worden beheerd, maar kan leiden tot datalekken, ongeautoriseerde wijzigingen en verstoring van de dienstverlening. Het is vergelijkbaar met scenario's waarin beleidsregels worden gemanipuleerd om toegang te krijgen tot data die anders beschermd zou zijn.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via de NVD. Er is geen bevestigde actieve exploitatie gemeld op het moment van publicatie, maar de complexiteit van de exploitatie is relatief laag, wat het risico verhoogt. De EPSS score is nog niet bekend. Het is belangrijk om deze kwetsbaarheid snel te patchen om verdere misbruik te voorkomen.
Organizations heavily reliant on Keycloak for authentication and authorization, particularly those utilizing User-Managed Access (UMA) policies, are at significant risk. Environments with a large number of users granted the uma_protection role, or those with complex UMA policy configurations, should prioritize remediation. Shared hosting environments using Keycloak are also at increased risk due to the potential for cross-tenant exploitation.
• java / server:
# Check Keycloak version
java -jar keycloak.jar --version• java / server:
# Monitor Keycloak logs for suspicious UMA policy creation requests
grep -i 'resource identifier' /path/to/keycloak/logs/keycloak.log• generic web:
# Check for unusual UMA policy endpoints
curl -I https://your-keycloak-instance/realms/your-realm/uma/policiesdisclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4636 is het upgraden van Keycloak Services naar versie 26.5.7 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de 'uma_protection' rol tot een minimale set van vertrouwde gebruikers. Implementeer strenge validatie van resource identifiers in uw Keycloak beleidsregels om te voorkomen dat kwaadwillenden identifiers van andere gebruikers kunnen opnemen. Monitor Keycloak logs op verdachte activiteit, zoals ongebruikelijke beleid creatie verzoeken. Er zijn geen specifieke WAF-regels of Sigma/YARA patronen beschikbaar, maar het monitoren van API calls gerelateerd aan UMA beleidsregels is aan te raden.
Werk Keycloak bij naar de laatste beschikbare versie die de correctie voor deze kwetsbaarheid bevat. Raadpleeg de beveiligingsadviezen van Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) voor meer details en specifieke update-instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4636 is a HIGH severity vulnerability in Keycloak Services affecting versions ≤9.0.3. It allows an authenticated user to bypass UMA policies, potentially granting unauthorized access to resources.
If you are running Keycloak Services version 9.0.3 or earlier, you are potentially affected by this vulnerability. Upgrade to 26.5.7 to mitigate the risk.
The recommended fix is to upgrade Keycloak Services to version 26.5.7 or later. Consider stricter access controls and WAF rules as interim mitigations.
While there are no confirmed reports of active exploitation at this time, the vulnerability's nature suggests a potential for exploitation once a public proof-of-concept is available.
Refer to the official Keycloak security advisory for detailed information and updates: [https://www.keycloak.org/security/advisories](https://www.keycloak.org/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.