HIGHCVE-2026-4634CVSS 7.5

CVE-2026-4634：Keycloak拒绝服务（DoS）漏洞，高危

平台

java

组件

org.keycloak:keycloak-services

修复版本

26.5.7

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-4634是Keycloak中的一个拒绝服务（DoS）漏洞。未经身份验证的攻击者可以通过向OpenID Connect (OIDC)令牌端点发送带有过长scope参数的特制POST请求来利用此漏洞。这会导致高资源消耗和长时间的处理，最终导致Keycloak服务器的拒绝服务（DoS）。目前没有官方补丁可用。

影响与攻击场景

Keycloak (Red Hat build 26.2) 中发现了一个拒绝服务 (DoS) 漏洞，已记录为 CVE-2026-4634。未经身份验证的攻击者可以通过向 OpenID Connect (OIDC) 令牌端点发送带有过长范围参数的精心制作的 POST 请求来利用此漏洞。范围参数的操作会导致服务器资源消耗增加和处理时间延长，最终可能导致 Keycloak 服务器中断。CVSS 分数为 7.5，表明存在重大风险。为了减轻此风险，必须升级到版本 26.5.7。

利用背景

通过向 OIDC 令牌端点发送带有异常长范围参数的 POST 请求来利用此漏洞。无需进行身份验证即可执行此攻击，使其更容易被利用。攻击者可以同时发送多个请求以扩大 DoS 攻击的影响。此漏洞在于 Keycloak 如何处理和验证范围参数，允许攻击者耗尽服务器资源。

哪些人处于风险中翻译中…

Organizations heavily reliant on Keycloak for authentication and authorization are at significant risk. This includes those deploying Keycloak in production environments, particularly those with limited security controls or monitoring in place. Shared hosting environments where multiple applications share a Keycloak instance are also at increased risk, as a compromised application could be used to launch a DoS attack against the Keycloak server.

检测步骤翻译中…

• java / server:

# Monitor Keycloak logs for unusually long processing times related to OIDC token requests.
journalctl -u keycloak -f | grep "OIDC token request processing time"

• java / server:

# Check Keycloak server resource utilization (CPU, memory) for spikes.
top

• generic web:

# Use curl to test the OIDC token endpoint with a long scope parameter and monitor response times.
curl -X POST -d 'scope=A' -d 'grant_type=authorization_code' https://<keycloak_server>/auth/realms/<realm>/protocol/openid-connect/token

攻击时间线

2026-04-02Disclosure
disclosure
2026-05-07Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.09% (25% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

受影响的软件

组件org.keycloak:keycloak-services

供应商osv

影响范围修复版本

26.2.15-1 – *—

26.2-18 – *—

26.4.11-1 – *—

26.4-14 – *—

—26.5.7

弱点分类 (CWE)

CWE-1050

时间线

已保留2026-03-23
发布日期2026-04-02
修改日期2026-04-04
EPSS 更新日期2026-04-10

缓解措施和替代方案

建议的解决方案是将 Keycloak 升级到版本 26.5.7 或更高版本。此版本包含修复程序，可防止利用 CVE-2026-4634。作为临时措施，可以在 OIDC 令牌端点上实施对范围参数长度的严格限制。但是，此临时解决方案可能会影响需要长范围的合法应用程序的功能，并且不能替代升级。我们强烈建议升级到最新稳定版本，以确保 Keycloak 服务器的安全性和稳定性。

修复方法翻译中…

Actualizar Keycloak a una versión posterior a las afectadas. Consultar los avisos de seguridad de Red Hat (RHSA-2026:6475, RHSA-2026:6476, RHSA-2026:6477) para obtener la versión corregida específica para su instalación.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-4634 是什么 — org.keycloak:keycloak-services 中的 Denial of Service (DoS)？

OIDC 是构建在 OAuth 2.0 协议之上的身份层。它允许 Web 和移动应用程序在无需存储用户凭据的情况下对用户进行身份验证并获取基本个人资料信息。

org.keycloak:keycloak-services 中的 CVE-2026-4634 是否会影响我？

更新 Keycloak 对于保护您的服务器免受 CVE-2026-4634 等安全漏洞至关重要。不更新可能会使您的系统容易受到 DoS 攻击。

如何修复 org.keycloak:keycloak-services 中的 CVE-2026-4634？

CVSS 分数 7.5 表示“高”风险。这意味着该漏洞可以被利用，并且会对服务可用性产生重大影响。

CVE-2026-4634 是否正在被积极利用？

作为临时措施，您可以限制 OIDC 令牌端点上范围参数的长度。但是，这可能会影响合法应用程序的功能，并且不是永久解决方案。

在哪里可以找到 org.keycloak:keycloak-services 关于 CVE-2026-4634 的官方安全通告？

您可以在漏洞数据库中找到有关此漏洞的更多信息，例如 NIST 的国家漏洞数据库 (NVD)。