Получение конфиденциальной информации в Keycloak
Уязвимое программное обеспечение
- Keycloak: до 26.7.0
Последствия эксплуатации
OSI: Получение конфиденциальной информации
Common Vulnerability Scoring System
Рейтинг: ВЫСОКИЙ
Оценка: 8.1
Вектор: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Вектор атаки: Сетевой
Сложность атаки: Низкая
Требуемые привилегии: Нет
Границы эксплуатации: Неизменный
Влияние на Конфиденциальность: Высокая
Влияние на Целостность: Высокая
Влияние на Доступность: Нет
Метод эксплуатации
Подмена при взаимодействии.
Взаимодействие с пользователем: Требуется
Уменьшение последствий
Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Наличие обновления: Есть
Common Weakness Enumeration
CWE: CWE-601
Описание: Перенаправление на небезопасный сайт ("открытое перенаправление")
Ссылки
- https://www.keycloak.org/2026/05/keycloak-2662-released
- https://github.com/keycloak/keycloak/issues/49109
- https://github.com/advisories/GHSA-rp95-xpg9-c2cq
- https://access.redhat.com/security/cve/cve-2026-7504
- https://dailycve.com/keycloak-open-redirect-bypass-cve-2026-7504-high-dc-jun2026-162/
- https://bdu.fstec.ru/vul/2026-07782
