V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-9802
CVE
Средний

В Кейклоаке был обнаружен недостаток. Когда включен revokeRefreshToken=true и используется постоянное сессионное хранилище, перезагрузка се…

CVSS
6.8
Средний
EPSS
0.00
p21
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

В Кейклоаке был обнаружен недостаток. Когда включен revokeRefreshToken=true и используется постоянное сессионное хранилище, перезагрузка сервера может сбросить внутренние механизмы синхронизации. Это позволяет удаленному злоумышленнику, который ранее захватил токен обновления пользователя, воспроизвести этот токен даже после того, как он был отозван. Успешная эксплуатация предоставляет злоумышленнику несанкционированный доступ к учетной записи жертвы, что может привести к раскрытию информации или эскалации привилегий.

Теги · CWE
Без аутентификации
CWE-613
Затронутые продукты
Build_of_keycloak
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.003 · p21
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
keycloakОтслеживается
build_of_keycloak*Отслеживается
keycloakОтслеживается
keycloakОтслеживается
keycloakОтслеживается
keycloakОтслеживается