| タイトル | レッドハットのbuild of keycloakにおける認証アルゴリズムの不適切な実装に関する脆弱性 |
|---|---|
| 概要 | Keycloakに脆弱性が発見されました。realmレベルとクライアントレベルの両方で「notBefore」取り消しポリシーが設定されている場合、KeycloakのOpenID Connect(OIDC)イントロスペクション機能がrealmレベルのポリシーを適切に適用できません。このため、本来取り消されるべきトークンが有効なまま残り、不正アクセスやセッションの継続的な有効性を招く可能性があります。この問題は、Keycloakをアイデンティティおよびアクセス管理に利用しているシステムのセキュリティに影響を及ぼします。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月19日0:00 |
| 登録日 | 2026年6月5日10:45 |
| 最終更新日 | 2026年6月5日10:45 |
| CVSS3.0 : 警告 | |
| スコア | 5.4 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
| レッドハット |
| build of keycloak |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月05日] 掲載 |
2026年6月5日10:45 |
| 概要 | A flaw was found in Keycloak. When both realm-level and client-level `notBefore` revocation policies are configured, Keycloak's OpenID Connect (OIDC) Introspection feature fails to properly honor the realm-level policy. This allows tokens that should have been revoked to remain active, potentially leading to unauthorized access or continued session validity. This could impact the security of systems utilizing Keycloak for identity and access management. |
|---|---|
| 公表日 | 2026年5月19日17:16 |
| 登録日 | 2026年5月20日4:11 |
| 最終更新日 | 2026年5月19日23:25 |