Keycloak - CVE-2026-1529
Date de publication :
Une vulnérabilité affecte Keycloak dans le processus d’invitation d’organisation. Les jetons d’invitation sont implémentés sous forme de JSON Web Token (JWT), mais la signature cryptographique du jeton n’est pas vérifiée avant le traitement de son contenu. Un attaquant peut modifier les champs "org_id" et "eml" dans le payload du JWT d’une invitation légitime. L’application accepte le jeton modifié comme valide, permettant à l’attaquant de s’auto-enregistrer dans une organisation non autorisée et d’obtenir un accès non légitime.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-347: Improper Verification of Cryptographic Signature
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Keycloak versions 26.5.2 et antérieures.
Solutions ou recommandations
Keycloak versions 26.5.3 et supérieures.