Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-9800

PUBLISHED 30.06.2026

CNA: redhat

Keycloak: keycloak policy enforcer: authorization bypass via incorrect uri comparison

Обновлено: 26.06.2026
A flaw was found in Keycloak Policy Enforcer. This vulnerability allows any authenticated user to bypass all authorization policies, including role, scope, and User-Managed Access (UMA) permission checks. By including the configured access-denied page path within a request URL, either as a path segment or a query parameter, an attacker can gain unauthorized access to protected resources.

CWE

Идентификатор Описание
CWE-1025 The code performs a comparison between two entities, but the comparison examines the wrong factors or characteristics of the entities, which can lead to incorrect results and resultant weaknesses.

CVSS

Оценка Severity Версия Базовый вектор
8.1 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Доп. Информация

Product Status

Red Hat build of Keycloak 26.4
Product: Red Hat build of Keycloak 26.4
Vendor: Red Hat
Default status: affected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 26.4.13-1 до * unaffected
СPE:
  • cpe:/a:redhat:build_keycloak:26.4::el9
Red Hat build of Keycloak 26.4
Product: Red Hat build of Keycloak 26.4
Vendor: Red Hat
Default status: affected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 26.4-19 до * unaffected
СPE:
  • cpe:/a:redhat:build_keycloak:26.4::el9
Red Hat build of Keycloak 26.4
Product: Red Hat build of Keycloak 26.4
Vendor: Red Hat
Default status: affected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 26.4-19 до * unaffected
СPE:
  • cpe:/a:redhat:build_keycloak:26.4::el9
Red Hat build of Keycloak 26.4.13
Product: Red Hat build of Keycloak 26.4.13
Vendor: Red Hat
Default status: unaffected
СPE:
  • cpe:/a:redhat:build_keycloak:26.4::el9
Red Hat build of Keycloak 26.6
Product: Red Hat build of Keycloak 26.6
Vendor: Red Hat
Default status: affected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 26.6.4-2 до * unaffected
СPE:
  • cpe:/a:redhat:build_keycloak:26.6::el9
Red Hat build of Keycloak 26.6
Product: Red Hat build of Keycloak 26.6
Vendor: Red Hat
Default status: affected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 26.6-8 до * unaffected
СPE:
  • cpe:/a:redhat:build_keycloak:26.6::el9
Red Hat build of Keycloak 26.6
Product: Red Hat build of Keycloak 26.6
Vendor: Red Hat
Default status: affected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 26.6-8 до * unaffected
СPE:
  • cpe:/a:redhat:build_keycloak:26.6::el9
Red Hat build of Keycloak 26.6.4
Product: Red Hat build of Keycloak 26.6.4
Vendor: Red Hat
Default status: unaffected
СPE:
  • cpe:/a:redhat:build_keycloak:26.6::el9
 

Ссылки

CISA ADP Vulnrichment

Обновлено: 25.06.2026
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no total 2.0.3 25.06.2026

keycloak: Keycloak Policy Enforcer: Authorization bypass via incorrect URI comparison

Обновлено: 30.06.2026

CVSS

Оценка Severity Версия Базовый вектор
8.1 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Ссылки

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.