| Title | レッドハットのbuild of keycloakにおける不変と仮定される Web パラメータの外部制御に関する脆弱性 |
|---|---|
| Summary | Keycloakに脆弱性が発見されました。低権限のユーザーがユーザー認証情報とクライアントIDを知っている場合、OpenID Connect(OIDC)クライアントで暗黙的フローを無効化するためのセキュリティ制御を回避できます。セッション再開時にクライアントデータを操作することで、本来取得できないはずのアクセストークンを取得できます。この脆弱性により、サーバーログ、プロキシログ、およびHTTPリファラヘッダーにこれらのアクセストークンが露出し、機密情報が漏洩する可能性があります。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 19, 2026, midnight |
| Registration Date | June 5, 2026, 10:45 a.m. |
| Last Update | June 5, 2026, 10:45 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
| レッドハット |
| build of keycloak 26.4 以上 26.4.12 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月05日] 掲載 |
June 5, 2026, 10:45 a.m. |
| Summary | A flaw was found in Keycloak. A low-privilege user, with knowledge of user credentials and client ID, can bypass a security control intended to disable the implicit flow in OpenID Connect (OIDC) clients. By manipulating client data during a session restart, an attacker can obtain an access token that should not be available. This vulnerability can also lead to the exposure of these access tokens in server logs, proxy logs, and HTTP Referrer headers, resulting in sensitive information disclosure. |
|---|---|
| Publication Date | May 19, 2026, 9:16 p.m. |
| Registration Date | May 20, 2026, 4:12 a.m. |
| Last Update | May 21, 2026, 2:16 a.m. |