Platform
java
Component
org.keycloak:keycloak-services
Opgelost in
26.5.7
26.6.1
CVE-2026-4874 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Keycloak Services. Een geauthenticeerde aanvaller kan misbruik maken van deze kwetsbaarheid om HTTP-verzoeken uit te voeren vanuit het netwerkcontext van de Keycloak-server, mogelijk met als doel interne netwerken of API's te onderzoeken. De kwetsbaarheid treft versies van Keycloak Services tot en met 26.6.0. Een patch is beschikbaar.
Deze SSRF-kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om HTTP-verzoeken te initiëren vanuit de Keycloak-server. Dit betekent dat de aanvaller, via Keycloak, interne netwerkbronnen kan benaderen die normaal gesproken niet toegankelijk zouden zijn. Het potentiële risico omvat het blootleggen van gevoelige informatie die zich achter interne firewalls bevindt, zoals interne API's, databases of andere services. Hoewel de CVSS score LOW is, kan de impact aanzienlijk zijn afhankelijk van de interne systemen die toegankelijk zijn via de SSRF. Een aanvaller kan bijvoorbeeld interne configuratiebestanden ophalen of toegang krijgen tot interne dashboards.
Deze kwetsbaarheid is publiekelijk bekend sinds 2026-03-26. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de SSRF-natuur van de kwetsbaarheid maakt het potentieel voor misbruik aanwezig. De KEV status is momenteel onbekend. Er zijn geen gerapporteerde actieve campagnes bekend.
Organizations utilizing Keycloak for authentication and authorization, particularly those with complex internal network architectures or sensitive internal APIs, are at risk. Environments where the backchannel.logout.url is configured with the application.session.host placeholder are especially vulnerable.
• java / server:
# Check for suspicious outbound network connections from the Keycloak process
netstat -an | grep keycloak• java / server:
# Monitor Keycloak logs for unusual HTTP requests or errors related to refresh token processing
grep -i "client_session_host" /path/to/keycloak/logs/keycloak.log• generic web:
# Check for the presence of the 'application.session.host' placeholder in the backchannel.logout.url configuration
# (Requires access to Keycloak configuration files or API)disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Keycloak Services naar een beveiligde versie. De vendor adviseert om te upgraden naar een versie waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan het tijdelijk beperken van de backchannel.logout.url configuratie helpen. Controleer de configuratie van de application.session.host placeholder en zorg ervoor dat deze niet kan worden gemanipuleerd door gebruikers. Implementeer een Web Application Firewall (WAF) met regels die SSRF-aanvallen detecteren en blokkeren. Monitor Keycloak logs op ongebruikelijke HTTP-verzoeken die afkomstig zijn van de Keycloak-server.
Werk bij naar een versie van Keycloak die de SSRF kwetsbaarheid heeft verholpen. Raadpleeg de release notes van Red Hat Build of Keycloak voor informatie over de opgeloste versies en de update instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4874 is a Server-Side Request Forgery (SSRF) vulnerability affecting Keycloak Services versions up to 26.6.0, allowing authenticated attackers to make HTTP requests from the Keycloak server’s network.
You are affected if you are running Keycloak Services versions 26.6.0 or earlier and have the backchannel.logout.url configured with the application.session.host placeholder.
Upgrade Keycloak Services to a version where the vulnerability has been addressed. Consult the official Keycloak advisory for the specific fixed version.
There are currently no confirmed reports of active exploitation, but the SSRF nature of the vulnerability suggests potential for exploitation.
Refer to the official Keycloak security advisories on the Keycloak website for the latest information and mitigation guidance.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.