Plataforma
java
Componente
org.keycloak:keycloak-services
Corrigido em
26.5.7
CVE-2026-4634 descreve uma vulnerabilidade de negação de serviço (DoS) no Keycloak. Um atacante não autenticado pode enviar uma requisição POST maliciosa com um parâmetro 'scope' excessivamente longo para o endpoint de token OpenID Connect (OIDC). Isso causa alto consumo de recursos e lentidão, resultando em DoS. Afeta versões 26.2-* do Keycloak. A vulnerabilidade foi corrigida em todas as versões.
Uma vulnerabilidade de Negação de Serviço (DoS) foi identificada no Keycloak (versão Red Hat 26.2), catalogada como CVE-2026-4634. Um atacante não autenticado pode explorar essa falha enviando uma solicitação POST especialmente elaborada com um parâmetro de escopo excessivamente longo para o endpoint de token do OpenID Connect (OIDC). A manipulação do parâmetro 'scope' leva a um alto consumo de recursos do servidor e tempos de processamento prolongados, podendo resultar em uma interrupção do servidor Keycloak. A pontuação CVSS é de 7,5, indicando um risco significativo. É crucial atualizar para a versão 26.5.7 para mitigar esse risco.
A vulnerabilidade é explorada enviando uma solicitação POST para o endpoint de token OIDC com um parâmetro 'scope' anormalmente grande. Não é necessária autenticação para executar este ataque, tornando-o mais fácil de explorar. Um atacante pode enviar várias solicitações simultaneamente para amplificar o impacto do ataque DoS. A vulnerabilidade reside na forma como o Keycloak processa e valida o parâmetro 'scope', permitindo que um atacante esgote os recursos do servidor.
Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those deploying Keycloak in production environments, particularly those with limited security controls or monitoring in place. Shared hosting environments where multiple applications share a Keycloak instance are also at increased risk, as a compromised application could be used to launch a DoS attack against the Keycloak server.
• java / server:
# Monitor Keycloak logs for unusually long processing times related to OIDC token requests.
journalctl -u keycloak -f | grep "OIDC token request processing time"• java / server:
# Check Keycloak server resource utilization (CPU, memory) for spikes.
top• generic web:
# Use curl to test the OIDC token endpoint with a long scope parameter and monitor response times.
curl -X POST -d 'scope=A' -d 'grant_type=authorization_code' https://<keycloak_server>/auth/realms/<realm>/protocol/openid-connect/tokendisclosure
patch
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 26.5.7 do Keycloak ou superior. Esta versão inclui uma correção que impede a exploração do CVE-2026-4634. Como medida temporária, você pode implementar um limite estrito no comprimento do parâmetro 'scope' no endpoint de token OIDC. No entanto, esta solução temporária pode afetar a funcionalidade de aplicativos legítimos que exigem escopos longos e não é um substituto para a atualização. Recomendamos fortemente a atualização para a versão estável mais recente para garantir a segurança e a estabilidade do servidor Keycloak.
Actualizar Keycloak a una versión posterior a las afectadas. Consultar los avisos de seguridad de Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) para obtener la versión corregida específica para su instalación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OIDC é uma camada de identidade construída sobre o protocolo OAuth 2.0. Ele permite que aplicativos web e móveis autentiquem usuários e obtenham informações básicas do perfil sem precisar armazenar as credenciais do usuário.
Atualizar o Keycloak é crucial para proteger seu servidor contra vulnerabilidades de segurança como CVE-2026-4634. A falha em atualizar pode deixar seu sistema vulnerável a ataques DoS.
Uma pontuação CVSS de 7,5 indica um risco 'Alto'. Isso significa que a vulnerabilidade é explorável e pode ter um impacto significativo na disponibilidade do serviço.
Como medida temporária, você pode limitar o comprimento do parâmetro 'scope' no endpoint de token OIDC. No entanto, isso pode afetar a funcionalidade de aplicativos legítimos e não é uma solução permanente.
Você pode encontrar mais informações sobre esta vulnerabilidade em bancos de dados de vulnerabilidades, como o Banco de Dados de Vulnerabilidades Nacionais (NVD) da NIST.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.