Keycloak 通过 OIDC token 端点操作实现服务器端请求伪造 (Server-Side Request Forgery)

该SSRF漏洞允许攻击者利用Keycloak服务器的网络环境发起HTTP请求，从而可能探测内部网络或内部API。攻击者可以利用此漏洞访问内部服务，获取敏感信息，甚至可能执行进一步的攻击。例如，攻击者可以尝试扫描内部网络上的开放端口，或者访问内部API以获取凭据或配置信息。如果Keycloak服务器配置不当，例如将backchannel.logout.url配置为使用application.session.host占位符，则该漏洞的风险会显著增加。攻击者可以利用此漏洞获取内部网络的信息，从而进一步扩大攻击范围。

Organizations utilizing Keycloak for authentication and authorization, particularly those with complex internal network architectures or sensitive internal APIs, are at risk. Environments where the backchannel.logout.url is configured with the application.session.host placeholder are especially vulnerable.

• java / server:

# Check for suspicious outbound network connections from the Keycloak process
netstat -an | grep keycloak

• java / server:

# Monitor Keycloak logs for unusual HTTP requests or errors related to refresh token processing
grep -i "client_session_host" /path/to/keycloak/logs/keycloak.log

• generic web:

# Check for the presence of the 'application.session.host' placeholder in the backchannel.logout.url configuration
# (Requires access to Keycloak configuration files or API)

1. 2026-03-26Disclosure

   disclosure

1. 已保留2026-03-26
2. 发布日期2026-03-26
3. 修改日期2026-04-13
4. EPSS 更新日期2026-04-02

为了缓解CVE-2026-4874的影响，建议立即升级至修复版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，审查Keycloak配置，确保backchannel.logout.url不使用application.session.host占位符。其次，实施网络隔离措施，限制Keycloak服务器对内部网络的访问。第三，使用Web应用防火墙(WAF)或反向代理来过滤恶意HTTP请求，阻止SSRF攻击。最后，监控Keycloak服务器的日志，检测异常HTTP请求，及时发现并响应潜在的攻击。