Plataforma
java
Componente
keycloak
Corrigido em
26.2.16
26.2.16
26.2.16
26.4.15
Uma falha foi descoberta no Keycloak, especificamente no componente SingleUseObjectProvider, que atua como um armazenamento global de pares chave-valor. A ausência de isolamento adequado de tipo e namespace permite que um atacante não autenticado falsifique códigos de autorização, levando à criação de tokens de acesso com capacidades administrativas. Essa vulnerabilidade afeta versões 26.2.15 e posteriores do Keycloak, mas uma correção já foi implementada.
Uma vulnerabilidade de segurança foi identificada no Keycloak (versão Red Hat 26.2), catalogada como CVE-2026-4282, com uma pontuação CVSS de 7.4. Essa vulnerabilidade reside no componente SingleUseObjectProvider, um armazenamento global de pares chave-valor, que carece de isolamento adequado de tipos e namespaces. Isso permite que um atacante não autenticado falsifique códigos de autorização, o que pode levar à criação de tokens de acesso com privilégios de administrador. A exploração bem-sucedida dessa vulnerabilidade pode levar à escalada de privilégios, comprometendo a segurança do sistema Keycloak e os recursos que ele protege. É crucial atualizar o Keycloak para uma versão corrigida o mais rápido possível para mitigar esse risco.
Um atacante não autenticado pode explorar essa vulnerabilidade enviando solicitações cuidadosamente elaboradas ao servidor Keycloak. A falta de isolamento de tipos e namespaces no SingleUseObjectProvider permite que o atacante manipule os códigos de autorização. Isso pode ser usado para obter tokens de acesso que concedem privilégios de administrador, permitindo que o atacante execute ações não autorizadas no sistema Keycloak e nos aplicativos que dependem dele. A exploração requer conhecimento técnico do funcionamento do Keycloak e da API de autorização, mas não requer autenticação prévia. A gravidade da vulnerabilidade reside na possibilidade de escalada de privilégios sem autenticação.
Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those using Keycloak in cloud environments, shared hosting setups, or with legacy integrations where strict access controls may not be enforced. Any deployment using Keycloak versions 26.2.15 and later is potentially vulnerable.
• java / server:
# Monitor Keycloak logs for suspicious authorization code requests or errors related to the SingleUseObjectProvider.
journalctl -u keycloak -f | grep -i "SingleUseObjectProvider"• generic web:
# Check for unusual traffic patterns to Keycloak endpoints related to authorization code generation.
curl -v https://<keycloak_url>/auth/realms/master/protocol/openid-connect/authdisclosure
Status do Exploit
EPSS
0.04% (percentil 14%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-4282 é atualizar para uma versão do Keycloak que inclua a correção. A Red Hat está trabalhando em um patch para a versão 26.2 e versões posteriores. Enquanto isso, recomenda-se implementar medidas de segurança adicionais, como restringir o acesso à API de autorização e monitorar ativamente os logs do Keycloak em busca de atividades suspeitas. A implementação de políticas de segurança robustas, incluindo a autenticação multifator (MFA), pode ajudar a reduzir o impacto potencial de uma exploração bem-sucedida. Consulte as notas de lançamento do Red Hat Keycloak para obter informações específicas sobre a atualização e recomendações de segurança.
Actualice Keycloak a la versión 26.2.16 o superior, o a la versión 26.4.15 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de aislamiento en el SingleUseObjectProvider que permite la falsificación de códigos de autorización y la escalada de privilegios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A vulnerabilidade afeta a versão 26.2 do Red Hat Keycloak. Recomenda-se verificar se outras versões são vulneráveis, consultando as notas de lançamento do Red Hat.
Você pode verificar a versão do Keycloak que está executando. Se for a versão 26.2, é provável que seja vulnerável. Você também pode monitorar os logs do Keycloak em busca de padrões de ataque.
Se não puder atualizar imediatamente, implemente medidas de segurança adicionais, como restringir o acesso à API de autorização e habilitar o monitoramento de logs.
Atualmente, não existem ferramentas específicas para detectar essa vulnerabilidade. No entanto, ferramentas de verificação de vulnerabilidades podem identificar versões antigas do Keycloak.
Você pode encontrar mais informações sobre essa vulnerabilidade no banco de dados de vulnerabilidades CVE (CVE-2026-4282) e nas notas de lançamento do Red Hat Keycloak.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.