製品・ソフトウェアに関する情報
脆弱性検索
レッドハットのbuild of keycloakにおけるセッション期限に関する脆弱性
タイトル レッドハットのbuild of keycloakにおけるセッション期限に関する脆弱性
概要

Keycloakに脆弱性が発見されました。revokeRefreshToken=trueが有効で永続的なセッションストレージが使用されている場合、サーバーの再起動によって内部のタイミング機構がリセットされる可能性があります。これにより、以前にユーザーのリフレッシュトークンを取得したリモート攻撃者が、そのトークンが取り消された後でも再生できてしまいます。この脆弱性を悪用されると、攻撃者が被害者のアカウントに不正アクセスし、情報漏洩や権限昇格を引き起こす可能性があります。

想定される影響 ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年5月28日0:00
登録日 2026年6月5日10:44
最終更新日 2026年6月5日10:44
CVSS3.0 : 警告
スコア 6.8
ベクター CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
影響を受けるシステム
レッドハット
build of keycloak 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2026年06月05日]
  掲載		 2026年6月5日10:44
NVD脆弱性情報
CVE-2026-9802
概要

A flaw was found in Keycloak. When revokeRefreshToken=true is enabled and persistent session storage is in use, a server restart can reset internal timing mechanisms. This allows a remote attacker, who has previously captured a user's refresh token, to replay that token even after it has been revoked. Successful exploitation grants the attacker unauthorized access to the victim's account, potentially leading to information disclosure or privilege escalation.

公表日 2026年5月28日15:16
登録日 2026年5月29日4:11
最終更新日 2026年6月4日4:36
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:redhat:build_of_keycloak:-:*:*:*:-:*:*:*
関連情報、対策とツール
共通脆弱性一覧