レッドハットのbuild of keycloakにおけるセッション期限に関する脆弱性
| Title |
レッドハットのbuild of keycloakにおけるセッション期限に関する脆弱性
|
| Summary |
Keycloakに脆弱性が発見されました。revokeRefreshToken=trueが有効で永続的なセッションストレージが使用されている場合、サーバーの再起動によって内部のタイミング機構がリセットされる可能性があります。これにより、以前にユーザーのリフレッシュトークンを取得したリモート攻撃者が、そのトークンが取り消された後でも再生できてしまいます。この脆弱性を悪用されると、攻撃者が被害者のアカウントに不正アクセスし、情報漏洩や権限昇格を引き起こす可能性があります。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 28, 2026, midnight |
| Registration Date |
June 5, 2026, 10:44 a.m. |
| Last Update |
June 5, 2026, 10:44 a.m. |
|
CVSS3.0 : 警告
|
| Score |
6.8
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月05日]
掲載 |
June 5, 2026, 10:44 a.m. |
NVD Vulnerability Information
CVE-2026-9802
| Summary |
A flaw was found in Keycloak. When revokeRefreshToken=true is enabled and persistent session storage is in use, a server restart can reset internal timing mechanisms. This allows a remote attacker, who has previously captured a user's refresh token, to replay that token even after it has been revoked. Successful exploitation grants the attacker unauthorized access to the victim's account, potentially leading to information disclosure or privilege escalation.
|
| Publication Date |
May 28, 2026, 3:16 p.m. |
| Registration Date |
May 29, 2026, 4:11 a.m. |
| Last Update |
June 4, 2026, 4:36 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:redhat:build_of_keycloak:-:*:*:*:-:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List