UNKNOWNCVE-2026-4636
CVE-2026-4636:Keycloak UMA策略绕过,权限提升
平台
java
组件
keycloak
已修复版本
*
CVE-2026-4636是Keycloak中的一个漏洞,允许具有uma_protection角色的经过身份验证的用户绕过User-Managed Access (UMA)策略验证。攻击者可以利用此漏洞在策略创建请求中包含其他用户拥有的资源标识符,即使URL路径指定了攻击者拥有的资源。这导致攻击者获得对受害者拥有的资源的未经授权的权限,从而能够获得Requesting Party Token (RPT)并访问敏感信息或执行未经授权的操作。目前没有官方补丁可用。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-4636是什么?
CVE-2026-4636是Keycloak中的一个漏洞,允许攻击者绕过UMA策略验证并获得未经授权的资源访问权限。
我是否受到CVE-2026-4636的影响?
如果您的Keycloak实例允许用户拥有uma_protection角色,则您可能受到此漏洞的影响。
如何修复CVE-2026-4636?
目前没有官方补丁可用。建议审查和加强UMA策略,并限制uma_protection角色的分配。