レッドハットのbuild of keycloakにおける認証アルゴリズムの不適切な実装に関する脆弱性
| Title |
レッドハットのbuild of keycloakにおける認証アルゴリズムの不適切な実装に関する脆弱性
|
| Summary |
Keycloakに脆弱性が発見されました。realmレベルとクライアントレベルの両方で「notBefore」取り消しポリシーが設定されている場合、KeycloakのOpenID Connect(OIDC)イントロスペクション機能がrealmレベルのポリシーを適切に適用できません。このため、本来取り消されるべきトークンが有効なまま残り、不正アクセスやセッションの継続的な有効性を招く可能性があります。この問題は、Keycloakをアイデンティティおよびアクセス管理に利用しているシステムのセキュリティに影響を及ぼします。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 19, 2026, midnight |
| Registration Date |
June 5, 2026, 10:45 a.m. |
| Last Update |
June 5, 2026, 10:45 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5.4
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月05日]
掲載 |
June 5, 2026, 10:45 a.m. |
NVD Vulnerability Information
CVE-2026-8922
| Summary |
A flaw was found in Keycloak. When both realm-level and client-level `notBefore` revocation policies are configured, Keycloak's OpenID Connect (OIDC) Introspection feature fails to properly honor the realm-level policy. This allows tokens that should have been revoked to remain active, potentially leading to unauthorized access or continued session validity. This could impact the security of systems utilizing Keycloak for identity and access management.
|
| Publication Date |
May 19, 2026, 5:16 p.m. |
| Registration Date |
May 20, 2026, 4:11 a.m. |
| Last Update |
May 19, 2026, 11:25 p.m. |
Related information, measures and tools
Common Vulnerabilities List