Keycloak - CVE-2026-1609
Date de publication :
Il s'agit d'une vulnérabilité de contrôle d'accès incorrect dans le traitement de la fonctionnalité preview de JWT authorization grant de Keycloak.
Keycloak est une solution open source de gestion des identités et des accès, permettant l'authentification unique (SSO), la fédération d'identité et la délivrance de jetons pour des applications tierces.
Lorsque cette fonctionnalité est activée, Keycloak ne vérifie pas correctement le statut désactivé d'un compte utilisateur lors du traitement de la demande d'autorisation JWT. Un attaquant distant disposant de privilèges faibles peut présenter un jeton d'assertion valide émis par un fournisseur d'identité externe pour obtenir un JWT valide au nom d'un compte utilisateur pourtant désactivé.
Elle permet un accès non autorisé à des ressources sensibles au nom d'un compte qui aurait dû être bloqué.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Contournement de la politique de sécurité
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Keycloak (upstream) version 26.5.2, avec la fonctionnalité preview jwt-authorization-grant explicitement activée