Plataforma
java
Componente
org.keycloak:keycloak-services
Corrigido em
26.5.7
CVE-2026-4636 descreve uma falha no Keycloak onde um usuário autenticado com a role uma_protection pode burlar a validação de políticas UMA (User-Managed Access). Isso permite que o atacante inclua identificadores de recursos pertencentes a outros usuários em uma solicitação de criação de política, mesmo que o caminho da URL especifique um recurso de propriedade do atacante. A exploração bem-sucedida pode resultar em acesso não autorizado a recursos de outros usuários, permitindo obter um Requesting Party Token (RPT) e acessar informações confidenciais ou realizar ações não autorizadas. As versões afetadas são 26.2 e posteriores. Uma correção está disponível.
Uma vulnerabilidade crítica foi identificada na versão Red Hat Build do Keycloak 26.2 (CVE-2026-4636) com uma pontuação CVSS de 8.1. Esta falha permite que um usuário autenticado com o papel 'uma_protection' ignore a validação das políticas de Acesso Gerenciado pelo Usuário (UMA). O atacante pode incluir identificadores de recursos pertencentes a outros usuários em uma solicitação de criação de política, mesmo que o caminho da URL especifique um recurso pertencente ao atacante. Isso resulta na concessão de permissões não autorizadas em recursos pertencentes à vítima, permitindo que o atacante obtenha um Token de Parte Solicitante (RPT) e acesse informações confidenciais ou execute ações não autorizadas. A gravidade desta vulnerabilidade reside em seu potencial para comprometer a segurança dos dados e a integridade do sistema, especialmente em ambientes onde o UMA é usado para controlar o acesso a recursos sensíveis. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, manipulação de dados e escalada de privilégios.
A vulnerabilidade é explorada aproveitando o papel 'uma_protection' dentro do Keycloak. Um atacante com este papel pode manipular as solicitações de criação de políticas UMA para incluir recursos que não lhe pertencem. Isso é alcançado enganando o sistema para validar a política usando identificadores de recursos pertencentes a outras vítimas. O caminho da URL na solicitação pode ser enganoso, indicando que uma política está sendo criada para um recurso pertencente ao atacante, enquanto internamente, a política é aplicada aos recursos da vítima. A falta de validação adequada dos identificadores de recursos permite essa manipulação. Uma vez que o atacante tenha criado a política com sucesso, ele pode obter um RPT e usá-lo para acessar os recursos da vítima. Este tipo de ataque é particularmente perigoso porque pode ser difícil de detectar, já que a criação da política parece legítima.
Organizations heavily reliant on Keycloak for authentication and authorization, particularly those utilizing User-Managed Access (UMA) policies, are at significant risk. Environments with a large number of users granted the uma_protection role, or those with complex UMA policy configurations, should prioritize remediation. Shared hosting environments using Keycloak are also at increased risk due to the potential for cross-tenant exploitation.
• java / server:
# Check Keycloak version
java -jar keycloak.jar --version• java / server:
# Monitor Keycloak logs for suspicious UMA policy creation requests
grep -i 'resource identifier' /path/to/keycloak/logs/keycloak.log• generic web:
# Check for unusual UMA policy endpoints
curl -I https://your-keycloak-instance/realms/your-realm/uma/policiesdisclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação recomendada para esta vulnerabilidade é atualizar para a versão Red Hat Build do Keycloak 26.5.7 ou superior. Esta versão inclui uma correção que aborda a falha de validação de políticas UMA. Recomenda-se aplicar esta atualização o mais rápido possível para minimizar o risco de exploração. Além disso, revise as configurações UMA existentes para garantir que as políticas estejam corretamente definidas e que os papéis de usuário sejam atribuídos de forma segura. Monitorar os logs do Keycloak em busca de atividades suspeitas também pode ajudar a detectar e responder a tentativas de exploração. A atualização deve ser realizada seguindo as melhores práticas de gerenciamento de alterações para evitar interrupções do serviço. Recomenda-se realizar testes exaustivos em um ambiente de teste antes de aplicar a atualização em produção.
Actualice Keycloak a la última versión disponible que contenga la corrección para esta vulnerabilidad. Consulte los avisos de seguridad de Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) para obtener más detalles e instrucciones específicas de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
UMA (User-Managed Access) é um padrão para controle de acesso granular a recursos. Ele permite que os usuários controlem quem pode acessar seus recursos e quais ações podem realizar. É importante porque fornece um controle mais preciso sobre o acesso aos dados, melhorando a segurança e a privacidade.
O papel 'uma_protection' no Keycloak concede aos usuários a capacidade de criar e gerenciar políticas de acesso UMA. Esta vulnerabilidade é explorada devido à falta de validação neste papel.
Se você não puder atualizar imediatamente, considere implementar medidas de mitigação temporárias, como restringir o acesso ao papel 'uma_protection' e monitorar os logs do Keycloak em busca de atividades suspeitas.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade. No entanto, recomenda-se realizar auditorias de segurança e testes de penetração para identificar possíveis problemas de configuração e vulnerabilidades.
Você pode encontrar mais informações sobre esta vulnerabilidade no aviso de segurança da Red Hat e no banco de dados de vulnerabilidades CVE (Common Vulnerabilities and Exposures).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.