HIGHCVE-2026-4282CVSS 7.4

CVE-2026-4282：Keycloak权限提升漏洞，伪造授权码

平台

java

组件

keycloak

修复版本

26.2.16

26.4.15

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-4282是Keycloak中的一个漏洞。SingleUseObjectProvider（一个全局键值存储）缺乏适当的类型和命名空间隔离。此漏洞允许未经身份验证的攻击者伪造授权码。成功利用可能导致创建具有管理员权限的访问令牌，从而导致权限提升。目前没有官方补丁可用。

影响与攻击场景

在 Keycloak (Red Hat 构建 26.2) 中发现了一个安全漏洞，被归类为 CVE-2026-4282，CVSS 评分达到 7.4。此漏洞存在于全局键值存储 SingleUseObjectProvider 中，该存储缺乏适当的类型和命名空间隔离。这使得未经身份验证的攻击者能够伪造授权码，可能导致创建具有管理员权限的访问令牌。成功利用此漏洞可能导致特权提升，从而危及 Keycloak 系统及其保护的资源的安全性。因此，尽快将 Keycloak 更新到已修复的版本以减轻此风险至关重要。

利用背景

未经身份验证的攻击者可以通过向 Keycloak 服务器发送精心制作的请求来利用此漏洞。SingleUseObjectProvider 中缺乏类型和命名空间隔离允许攻击者操纵授权码。这可以用来获取授予管理员权限的访问令牌，从而允许攻击者在 Keycloak 系统及其依赖的应用中执行未经授权的操作。利用此漏洞需要了解 Keycloak 的工作原理和授权 API，但不需要事先进行身份验证。此漏洞的严重性在于，无需身份验证即可实现特权提升的可能性。

哪些人处于风险中翻译中…

Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those using Keycloak in cloud environments, shared hosting setups, or with legacy integrations where strict access controls may not be enforced. Any deployment using Keycloak versions 26.2.15 and later is potentially vulnerable.

检测步骤翻译中…

• java / server:

# Monitor Keycloak logs for suspicious authorization code requests or errors related to the SingleUseObjectProvider.
journalctl -u keycloak -f | grep -i "SingleUseObjectProvider"

• generic web:

# Check for unusual traffic patterns to Keycloak endpoints related to authorization code generation.
curl -v https://<keycloak_url>/auth/realms/master/protocol/openid-connect/auth

攻击时间线

2026-04-02Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (14% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件keycloak

供应商Red Hat

影响范围修复版本

26.2.15 – 26.2.1526.2.16

26.2.18 – 26.2.1826.2.16

26.4.11 – 26.4.1426.4.15

弱点分类 (CWE)

CWE-653

时间线

已保留2026-03-16
发布日期2026-04-02
修改日期2026-04-07
EPSS 更新日期2026-04-10

缓解措施和替代方案

针对 CVE-2026-4282 的主要缓解措施是将 Keycloak 更新到包含修复程序的版本。Red Hat 正在为版本 26.2 及更高版本开发补丁。在此期间，建议实施额外的安全措施，例如限制对授权 API 的访问以及主动监控 Keycloak 日志以查找可疑活动。实施强大的安全策略，包括多因素身份验证 (MFA)，可以帮助减少成功利用的潜在影响。请参阅 Red Hat Keycloak 发布说明以获取有关更新和安全建议的具体信息。

修复方法翻译中…

Actualice Keycloak a la versión 26.2.16 o superior, o a la versión 26.4.15 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de aislamiento en el SingleUseObjectProvider que permite la falsificación de códigos de autorización y la escalada de privilegios.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-4282 是什么 — Keycloak 中的 Privilege Escalation？

此漏洞影响 Red Hat Keycloak 版本 26.2。建议通过查阅 Red Hat 发布说明来检查其他版本是否容易受到攻击。

Keycloak 中的 CVE-2026-4282 是否会影响我？

您可以检查您运行的 Keycloak 版本。如果是 26.2 版本，则很可能容易受到攻击。您还可以监控 Keycloak 日志以查找攻击模式。

如何修复 Keycloak 中的 CVE-2026-4282？

如果无法立即更新 Keycloak，请实施额外的安全措施，例如限制对授权 API 的访问以及启用日志监控。

CVE-2026-4282 是否正在被积极利用？

目前没有专门用于检测此漏洞的工具。但是，漏洞扫描工具可以识别 Keycloak 的旧版本。

在哪里可以找到 Keycloak 关于 CVE-2026-4282 的官方安全通告？

您可以在 CVE 数据库 (CVE-2026-4282) 和 Red Hat Keycloak 发布说明中找到有关此漏洞的更多信息。