В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в популярном программном обеспечении для управления идентификацией и доступом Red Hat Build of Keycloak. Проблема, получившая идентификатор BDU:2026-01704, связана с некорректной проверкой криптографической подписи в компоненте JSON Web Token Handler. По сути, данная архитектурная ошибка позволяет удалённому злоумышленнику, обладающему учётными данными низкого уровня привилегий, полностью обойти механизмы аутентификации и получить несанкционированный доступ к конфиденциальным данным.
Детали уязвимости
Уязвимость затрагивает несколько актуальных версий Keycloak, включая 26.2, 26.2.13, 26.4 и 26.4.9. Производитель, компания Red Hat, уже подтвердил наличие проблемы и присвоил ей идентификатор CVE-2026-1529. Ключевой аспект уязвимости заключается в обработке пригласительных токенов для регистрации пользователей. Атакующий может скомпрометировать этот процесс, чтобы зарегистрироваться в системе с правами администратора или получить доступ к защищённым ресурсам от имени других легитимных пользователей.
Оценка опасности по методологии CVSS указывает на высокий уровень риска. Базовая оценка CVSS 2.0 составляет 8.5, а более современная CVSS 3.1 - 8.1. Согласно вектору атаки, эксплуатация не требует сложных условий. Злоумышленнику достаточно иметь сетевой доступ к целевой системе и учётную запись с минимальными привилегиями. При этом последствия успешной атаки катастрофичны: происходит полная компрометация конфиденциальности и целостности данных.
Эксперты отмечают, что способ эксплуатации классифицируется как «подмена при взаимодействии». Это означает, что атакующий манипулирует процессом обмена данными между клиентом и сервером Keycloak. В частности, нарушитель может отправить специально сформированный JSON Web Token, содержащий запрос на регистрацию через приглашение. Из-за ошибки в проверке электронно-цифровой подписи сервер некорректно обрабатывает такой токен и выполняет вредоносный запрос.
Важно подчеркнуть, что информация об уязвимости уже стала публичной. Более того, в открытом доступе, например на GitHub, существует доказательство концепции эксплойта. Наличие работающего кода для эксплуатации значительно повышает актуальность угрозы. Следовательно, злоумышленники могут быстро интегрировать эту технику в свои арсеналы для проведения реальных атак. В результате под угрозой оказываются все организации, использующие уязвимые версии Keycloak для управления доступом к своим информационным системам.
Производитель выпустил официальные патчи, устраняющие проблему. Таким образом, основной и единственно надёжный способ защиты - немедленное обновление программного обеспечения до исправленных версий. Администраторам необходимо применить рекомендации, опубликованные Red Hat по ссылке, указанной в бюллетене BDU. Кроме того, специалисты по кибербезопасности рекомендуют проводить мониторинг сетевой активности на предмет подозрительных попыток регистрации или аномальных запросов к конечным точкам аутентификации.
Данный инцидент в очередной раз демонстрирует критическую важность своевременного обновления систем управления идентификацией. Поскольку эти системы являются краеугольным камнем безопасности всей ИТ-инфраструктуры, уязвимости в них создают огромные риски. Эксплуатация ошибки CVE-2026-1529 позволяет обойти фундаментальный принцип «доверяй, но проверяй», лежащий в основе JWT. Поэтому оперативное применение исправлений должно быть приоритетной задачей для всех ИТ-команд.
Ссылки
- https://bdu.fstec.ru/vul/2026-01704
- https://www.cve.org/CVERecord?id=CVE-2026-1529
- https://github.com/ninjazan420/CVE-2026-1529-PoC-keycloak-unauthorized-registration-via-improper-invitation-token-validation
- https://access.redhat.com/security/cve/cve-2026-1529
