Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01704

Опубликовано: 09 фев. 2026
Источник: fstec
CVSS3: 8.1
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость компонента JSON Web Token Handler программного средства для управления идентификацией и доступом Keycloak связана с ошибками проверки криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.

Наименование ПО

Red Hat Build of Keycloak

Версия ПО

26.2 (Red Hat Build of Keycloak)
26.2.13 (Red Hat Build of Keycloak)
26.4 (Red Hat Build of Keycloak)
26.4.9 (Red Hat Build of Keycloak)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://access.redhat.com/security/cve/cve-2026-1529

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.00011
Низкий

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2026-1529

CVSS3: 8.1
redhat
около 2 месяцев назад

A flaw was found in Keycloak. An attacker can exploit this vulnerability by modifying the organization ID and target email within a legitimate invitation token's JSON Web Token (JWT) payload. This lack of cryptographic signature verification allows the attacker to successfully self-register into an unauthorized organization, leading to unauthorized access.

nvd логотип

CVE-2026-1529

CVSS3: 8.1
nvd
около 2 месяцев назад

A flaw was found in Keycloak. An attacker can exploit this vulnerability by modifying the organization ID and target email within a legitimate invitation token's JSON Web Token (JWT) payload. This lack of cryptographic signature verification allows the attacker to successfully self-register into an unauthorized organization, leading to unauthorized access.

debian логотип

CVE-2026-1529

CVSS3: 8.1
debian
около 2 месяцев назад

A flaw was found in Keycloak. An attacker can exploit this vulnerabili ...

github логотип

GHSA-hcvw-475w-8g7p

CVSS3: 8.1
github
около 2 месяцев назад

Keycloak affected by improper invitation token validation

EPSS

Процентиль: 1%
0.00011
Низкий

8.1 High

CVSS3

8.5 High

CVSS2