| タイトル | レッドハットのbuild of keycloakにおける不変と仮定される Web パラメータの外部制御に関する脆弱性 |
|---|---|
| 概要 | Keycloakに脆弱性が発見されました。低権限のユーザーがユーザー認証情報とクライアントIDを知っている場合、OpenID Connect(OIDC)クライアントで暗黙的フローを無効化するためのセキュリティ制御を回避できます。セッション再開時にクライアントデータを操作することで、本来取得できないはずのアクセストークンを取得できます。この脆弱性により、サーバーログ、プロキシログ、およびHTTPリファラヘッダーにこれらのアクセストークンが露出し、機密情報が漏洩する可能性があります。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月19日0:00 |
| 登録日 | 2026年6月5日10:45 |
| 最終更新日 | 2026年6月5日10:45 |
| CVSS3.0 : 重要 | |
| スコア | 7.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
| レッドハット |
| build of keycloak 26.4 以上 26.4.12 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月05日] 掲載 |
2026年6月5日10:45 |
| 概要 | A flaw was found in Keycloak. A low-privilege user, with knowledge of user credentials and client ID, can bypass a security control intended to disable the implicit flow in OpenID Connect (OIDC) clients. By manipulating client data during a session restart, an attacker can obtain an access token that should not be available. This vulnerability can also lead to the exposure of these access tokens in server logs, proxy logs, and HTTP Referrer headers, resulting in sensitive information disclosure. |
|---|---|
| 公表日 | 2026年5月19日21:16 |
| 登録日 | 2026年5月20日4:12 |
| 最終更新日 | 2026年5月21日2:16 |