製品・ソフトウェアに関する情報
脆弱性検索
レッドハットのbuild of keycloakにおけるエラーメッセージによる情報漏えいに関する脆弱性
タイトル レッドハットのbuild of keycloakにおけるエラーメッセージによる情報漏えいに関する脆弱性
概要

Keycloakに脆弱性が発見されました。遠隔の未認証攻撃者は、特別に細工されたSOAPリクエストをSAML ECP(Security Assertion Markup Language Enhanced Client or Proxy)エンドポイントに異なるクライアントIDで送信することで、この脆弱性を悪用できます。レスポンスの異なるfaultstringを観察することで、攻撃者はクライアントのプロトコルタイプを判別でき、それによって情報漏洩が発生します。

想定される影響 ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年5月28日0:00
登録日 2026年6月5日10:44
最終更新日 2026年6月5日10:44
CVSS3.0 : 警告
スコア 5.3
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
影響を受けるシステム
レッドハット
build of keycloak 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2026年06月05日]
  掲載		 2026年6月5日10:44
NVD脆弱性情報
CVE-2026-9794
概要

A flaw was found in Keycloak. A remote, unauthenticated attacker can exploit this vulnerability by sending specially crafted SOAP requests to the SAML ECP (Security Assertion Markup Language Enhanced Client or Proxy) endpoint with varying client IDs. By observing distinct faultstrings in the responses, the attacker can determine the client's protocol type, leading to information disclosure.

公表日 2026年5月28日14:16
登録日 2026年5月29日4:11
最終更新日 2026年6月4日4:37
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:redhat:build_of_keycloak:-:*:*:*:-:*:*:*
関連情報、対策とツール
共通脆弱性一覧