Plataforma
java
Componente
keycloak
Corrigido em
26.2.16
26.2.16
26.2.16
26.4.15
Uma vulnerabilidade de divulgação de informações foi descoberta no Keycloak. Essa falha permite que um atacante, com controle sobre outro caminho no mesmo servidor web, ignore o caminho permitido em URIs de redirecionamento que utilizam um curinga. Um ataque bem-sucedido pode levar ao roubo de um token de acesso, resultando em divulgação de informações. A vulnerabilidade afeta versões 26.2.15 e posteriores do Keycloak, e uma correção já foi disponibilizada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante contorne as restrições de URI de redirecionamento no Keycloak. Isso significa que um atacante que já tem acesso a outro caminho no mesmo servidor web pode manipular o processo de redirecionamento para obter um token de acesso válido. Com esse token, o atacante pode se autenticar como um usuário legítimo e acessar recursos protegidos, comprometendo a confidencialidade e a integridade dos dados. O impacto potencial inclui o acesso não autorizado a dados sensíveis, como informações de usuários, credenciais e dados de aplicativos, e a possibilidade de realizar ações em nome de usuários legítimos.
A vulnerabilidade foi divulgada em 2026-04-02. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada baixa a média, dependendo da exposição do Keycloak e da implementação de medidas de segurança adicionais.
Organizations using Keycloak for authentication and authorization, particularly those with complex redirect URI configurations or shared hosting environments, are at risk. Environments where multiple applications share the same web server hosting Keycloak are especially vulnerable, as an attacker could exploit a vulnerability in one application to compromise Keycloak's redirect URI validation.
• java / server:
# Check Keycloak logs for unusual redirect URI patterns
grep -i 'redirect_uri' /path/to/keycloak/logs/keycloak.log• generic web:
# Check for exposed Keycloak endpoints with potentially vulnerable redirect URIs
curl -I https://your-keycloak-instance/realms/your-realm/protocol/openid-connect/auth?client_id=your-client-id&response_type=code&redirect_uri=http://attacker.com/evildisclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar para uma versão corrigida do Keycloak. A equipe do Keycloak já lançou uma correção para resolver este problema. Enquanto a atualização não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao servidor web e monitorar os logs de auditoria em busca de atividades suspeitas. Implementar regras de WAF (Web Application Firewall) para bloquear URIs de redirecionamento maliciosos pode ajudar a mitigar o risco. Verifique se a configuração do Keycloak está corretamente restrita, limitando os domínios permitidos para redirecionamento.
Atualize Keycloak para a versão 26.2.16 ou superior, ou para a versão 26.4.15 ou superior. Esta atualização corrige a vulnerabilidade ao melhorar a validação das URIs de redirecionamento, prevenindo o bypass do controle de segurança e protegendo contra a possível divulgação de informações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3872 is a HIGH severity vulnerability in Keycloak versions 26.2.15 and later that allows attackers to bypass redirect URI path restrictions, potentially stealing access tokens.
If you are running Keycloak version 26.2.15 or later, you are potentially affected by this vulnerability. Check the official Keycloak advisory for details.
Upgrade Keycloak to a patched version as soon as possible. Consult the official Keycloak security advisories for the latest recommended version.
As of now, there are no known public exploits or active campaigns targeting this vulnerability, but its HIGH severity warrants ongoing monitoring.
Refer to the official Keycloak security advisories on the Keycloak website for the most up-to-date information and guidance.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.