Keycloak: UMA Policy Resource Injection maakt ongeautoriseerde cross-user permissie toekenningen mogelijk
Platform
java
Component
org.keycloak:keycloak-services
Opgelost in
26.5.7
CVE-2026-4636 is een kwetsbaarheid in Keycloak Services die het mogelijk maakt voor geauthenticeerde gebruikers met de 'uma_protection' rol om User-Managed Access (UMA) beleidsvalidatie te omzeilen. Dit stelt aanvallers in staat om resource identifiers van andere gebruikers in een beleid creatie verzoek op te nemen, zelfs als de URL een resource van de aanvaller aangeeft. De kwetsbaarheid treft versies van Keycloak Services tot en met 9.0.3. Een upgrade naar versie 26.5.7 is vereist om dit probleem te verhelpen.
Detecteer deze CVE in je project
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.
Impact en Aanvalsscenarios
Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang te krijgen tot resources die eigendom zijn van andere gebruikers binnen de Keycloak omgeving. Door UMA-beleidsvalidatie te omzeilen, kan de aanvaller een Requesting Party Token (RPT) verkrijgen en vervolgens gevoelige informatie inwinnen of ongeautoriseerde acties uitvoeren namens andere gebruikers. De impact kan variëren afhankelijk van de gevoeligheid van de resources die via Keycloak worden beheerd, maar kan leiden tot datalekken, ongeautoriseerde wijzigingen en verstoring van de dienstverlening. Het is vergelijkbaar met scenario's waarin beleidsregels worden gemanipuleerd om toegang te krijgen tot data die anders beschermd zou zijn.
Uitbuitingscontext
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via de NVD. Er is geen bevestigde actieve exploitatie gemeld op het moment van publicatie, maar de complexiteit van de exploitatie is relatief laag, wat het risico verhoogt. De EPSS score is nog niet bekend. Het is belangrijk om deze kwetsbaarheid snel te patchen om verdere misbruik te voorkomen.
Wie Loopt Risicowordt vertaald…
Organizations heavily reliant on Keycloak for authentication and authorization, particularly those utilizing User-Managed Access (UMA) policies, are at significant risk. Environments with a large number of users granted the uma_protection role, or those with complex UMA policy configurations, should prioritize remediation. Shared hosting environments using Keycloak are also at increased risk due to the potential for cross-tenant exploitation.
Detectiestappenwordt vertaald…
• java / server:
# Check Keycloak version
java -jar keycloak.jar --version• java / server:
# Monitor Keycloak logs for suspicious UMA policy creation requests
grep -i 'resource identifier' /path/to/keycloak/logs/keycloak.log• generic web:
# Check for unusual UMA policy endpoints
curl -I https://your-keycloak-instance/realms/your-realm/uma/policiesAanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie voor CVE-2026-4636 is het upgraden van Keycloak Services naar versie 26.5.7 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de 'uma_protection' rol tot een minimale set van vertrouwde gebruikers. Implementeer strenge validatie van resource identifiers in uw Keycloak beleidsregels om te voorkomen dat kwaadwillenden identifiers van andere gebruikers kunnen opnemen. Monitor Keycloak logs op verdachte activiteit, zoals ongebruikelijke beleid creatie verzoeken. Er zijn geen specifieke WAF-regels of Sigma/YARA patronen beschikbaar, maar het monitoren van API calls gerelateerd aan UMA beleidsregels is aan te raden.
Hoe te verhelpen
Werk Keycloak bij naar de laatste beschikbare versie die de correctie voor deze kwetsbaarheid bevat. Raadpleeg de beveiligingsadviezen van Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) voor meer details en specifieke update-instructies.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2026-4636 — UMA Bypass in Keycloak Services?
CVE-2026-4636 is a HIGH severity vulnerability in Keycloak Services affecting versions ≤9.0.3. It allows an authenticated user to bypass UMA policies, potentially granting unauthorized access to resources.
Am I affected by CVE-2026-4636 in Keycloak Services?
If you are running Keycloak Services version 9.0.3 or earlier, you are potentially affected by this vulnerability. Upgrade to 26.5.7 to mitigate the risk.
How do I fix CVE-2026-4636 in Keycloak Services?
The recommended fix is to upgrade Keycloak Services to version 26.5.7 or later. Consider stricter access controls and WAF rules as interim mitigations.
Is CVE-2026-4636 being actively exploited?
While there are no confirmed reports of active exploitation at this time, the vulnerability's nature suggests a potential for exploitation once a public proof-of-concept is available.
Where can I find the official Keycloak advisory for CVE-2026-4636?
Refer to the official Keycloak security advisory for detailed information and updates: [https://www.keycloak.org/security/advisories](https://www.keycloak.org/security/advisories)
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.