Keycloak < 26.4.11 の複数の脆弱性

medium Nessus プラグイン ID 305939

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます。

説明

26.4.11 より前のバージョンの Keycloak は、複数の脆弱性の影響を受けます

- KeycloakのAccount REST APIに欠陥が見つかりました。この欠陥により、低いセキュリティレベルで認証されたユーザーが、高い保証性セッションのみを対象とした秘密のアクションを実行する可能性があります。具体的には、すでに被害者のパスワードを取得している攻撃者が、その要素の所有を最初に証明することなく、被害者の登録 MFA/OTP 認証情報を削除できます。
攻撃者は独自の MFA デバイスを登録し、アカウントを完全にコントロールできるようになる可能性があります。この弱点は、多要素認証によって提供される本来守られるべき保護を弱めます。CVE-2026-3429

- Keycloak に欠陥が見つかりました。Keycloak Admin API の認証バイパスの脆弱性により、管理権限を持たないユーザーも含め、認証されたユーザーが、他のユーザーの組織メンバーシップを列挙する可能性があります。この情報漏洩は、攻撃者が被害者の一意の識別子 (UUID) を知っており、かつ Organizations 機能が有効化されている場合に発生します。CVE-2026-2366

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。