Keycloak - CVE-2026-1609

Date de publication :

Il s'agit d'une vulnérabilité de contrôle d'accès incorrect dans le traitement de la fonctionnalité preview de JWT authorization grant de Keycloak.

Keycloak est une solution open source de gestion des identités et des accès, permettant l'authentification unique (SSO), la fédération d'identité et la délivrance de jetons pour des applications tierces.

Lorsque cette fonctionnalité est activée, Keycloak ne vérifie pas correctement le statut désactivé d'un compte utilisateur lors du traitement de la demande d'autorisation JWT. Un attaquant distant disposant de privilèges faibles peut présenter un jeton d'assertion valide émis par un fournisseur d'identité externe pour obtenir un JWT valide au nom d'un compte utilisateur pourtant désactivé.

Elle permet un accès non autorisé à des ressources sensibles au nom d'un compte qui aurait dû être bloqué.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type
CWE-284 : Improper Access Control

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

Keycloak (upstream) version 26.5.2, avec la fonctionnalité preview jwt-authorization-grant explicitement activée

Contournement provisoire

Pour toutes les versions concernées : s'assurer que la fonctionnalité preview jwt-authorization-grant n'est pas activée, celle-ci étant désactivée par défaut. Un redémarrage du service Keycloak peut être nécessaire après désactivation pour que le changement prenne effet

Solutions ou recommandations

Keycloak (upstream) version 26.5.3 et supérieures