Plataforma
java
Componente
org.keycloak:keycloak-services
Corrigido em
26.5.7
26.6.1
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no Keycloak Services. Um atacante autenticado pode explorar essa falha manipulando o parâmetro clientsessionhost durante as requisições de refresh token, quando o backchannel.logout.url é configurado com o placeholder application.session.host. Essa vulnerabilidade afeta versões do Keycloak Services até a 26.6.0 e permite que o atacante faça requisições HTTP a partir do contexto de rede do servidor, potencialmente expondo informações internas.
A exploração bem-sucedida da vulnerabilidade SSRF permite que um atacante autenticado realize requisições HTTP a partir do servidor Keycloak. Isso significa que o atacante pode potencialmente sondar redes internas e APIs internas, mesmo que não tenham acesso direto a elas. O impacto principal é a divulgação de informações sensíveis que podem estar acessíveis a partir da rede interna do servidor Keycloak. Um cenário de ataque envolve o atacante utilizando o servidor Keycloak como um proxy para acessar recursos internos que normalmente estariam protegidos por firewalls ou outras medidas de segurança. A vulnerabilidade é similar a outros ataques SSRF, onde o servidor é enganado para fazer requisições em nome do atacante, mas o contexto de rede do servidor é utilizado, ampliando o escopo do ataque.
A vulnerabilidade foi divulgada em 26 de março de 2026. A avaliação inicial da probabilidade de exploração é baixa, mas a natureza da SSRF e a facilidade de exploração podem aumentar esse risco. Não há relatos públicos de Proof-of-Concept (PoC) disponíveis no momento da divulgação. A vulnerabilidade ainda não foi adicionada ao Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA.
Organizations utilizing Keycloak for authentication and authorization, particularly those with complex internal network architectures or sensitive internal APIs, are at risk. Environments where the backchannel.logout.url is configured with the application.session.host placeholder are especially vulnerable.
• java / server:
# Check for suspicious outbound network connections from the Keycloak process
netstat -an | grep keycloak• java / server:
# Monitor Keycloak logs for unusual HTTP requests or errors related to refresh token processing
grep -i "client_session_host" /path/to/keycloak/logs/keycloak.log• generic web:
# Check for the presence of the 'application.session.host' placeholder in the backchannel.logout.url configuration
# (Requires access to Keycloak configuration files or API)disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-4874 é atualizar o Keycloak Services para uma versão corrigida. A versão exata corrigida não foi fornecida, mas a atualização para a versão mais recente disponível é recomendada. Se a atualização imediata não for possível, uma medida temporária é desabilitar o uso do placeholder application.session.host no backchannel.logout.url. Em vez disso, configure um URL específico e estático. Monitore os logs do Keycloak para atividades suspeitas, especialmente requisições HTTP incomuns originadas do servidor. Após a atualização, confirme a correção verificando se as requisições de refresh token não podem mais ser manipuladas para realizar requisições SSRF.
Atualize para uma versão do Keycloak que tenha corrigido a vulnerabilidade SSRF. Consulte as notas de versão do Red Hat Build of Keycloak para obter informações sobre as versões corrigidas e as instruções de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4874 is a Server-Side Request Forgery (SSRF) vulnerability affecting Keycloak Services versions up to 26.6.0, allowing authenticated attackers to make HTTP requests from the Keycloak server’s network.
You are affected if you are running Keycloak Services versions 26.6.0 or earlier and have the backchannel.logout.url configured with the application.session.host placeholder.
Upgrade Keycloak Services to a version where the vulnerability has been addressed. Consult the official Keycloak advisory for the specific fixed version.
There are currently no confirmed reports of active exploitation, but the SSRF nature of the vulnerability suggests potential for exploitation.
Refer to the official Keycloak security advisories on the Keycloak website for the latest information and mitigation guidance.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.