目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-16103— Keycloak 9.0.2 令牌兑换时CIBA暴力锁定绕过漏洞

CVSS 4.3 · Medium EPSS 0.21% · P11

Possible ATT&CK Techniques 1AI

T1190 · Exploit Public-Facing Application

Affected Version Matrix 6

ベンダープロダクトVersion Rangeステータス
Red HatRed Hat Build of Keycloakanyaffected
anyaffected
anyaffected
Red HatRed Hat Data Grid 8anyunaffected
Red HatRed Hat JBoss Enterprise Application Platform Expansion Packanyunaffected
Red HatRed Hat Single Sign-On 7anyunaffected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-16103の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Keycloak-services: keycloak-services: incomplete fix for ciba brute-force lockout bypass at token redemption
ソース: NVD (National Vulnerability Database)
脆弱性説明
A flaw was found in the keycloak-services component of Keycloak. This issue is an incomplete fix for CVE-2026-9798, where brute-force protection checks were added to the Client-Initiated Backchannel Authentication (CIBA) initiation handler but were omitted from the token redemption handler. This allows an attacker with valid client credentials to obtain access and refresh tokens for a user account that has been locked due to brute-force protection, provided the authentication request was started before the lockout occurred and was approved by the user.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
N/A
ソース: NVD (National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
Red HatRed Hat Build of Keycloak-cpe:/a:redhat:build_keycloak:
Red HatRed Hat Build of Keycloak-cpe:/a:redhat:build_keycloak:
Red HatRed Hat Build of Keycloak-cpe:/a:redhat:build_keycloak:
Red HatRed Hat Data Grid 8-cpe:/a:redhat:jboss_data_grid:8
Red HatRed Hat JBoss Enterprise Application Platform Expansion Pack-cpe:/a:redhat:jbosseapxp
Red HatRed Hat Single Sign-On 7-cpe:/a:redhat:red_hat_single_sign_on:7

II. CVE-2026-16103の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-16103のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-16103 厂商安全公告 (2)

Same Patch Batch · Red Hat · 2026-07-17 · 9 CVEs total

CVE-2026-161187.1 HIGHXdgmime: heap-based buffer overflow in _xdg_mime_magic_parse_magic_line() in xdgmimemagic.
CVE-2026-159435.5 MEDIUMKeycloak-services: keycloak-services: oidc idp update reuses masked client secret after to
CVE-2026-160935.4 MEDIUMKeycloak-services: keycloak-services: required signed-jwt assertion policy can be bypassed
CVE-2026-160895.4 MEDIUMKeycloak-services: keycloak-services: authorization codes can be retargeted to another cli
CVE-2026-161064.9 MEDIUMKeycloak-services: keycloak-services: incorrect authorization in admin role-composite dele
CVE-2026-160724.9 MEDIUMKeycloak-services: keycloak-services: organization invitation link exposure allows unautho
CVE-2026-161044.3 MEDIUMKeycloak-services: keycloak-services: authenticator config endpoint exposes raw recaptcha
CVE-2026-161084.3 MEDIUMKeycloak-services: keycloak-services: realm default-group reads disclose hidden groups und

IV. 関連脆弱性

V. CVE-2026-16103へのコメント

まだコメントはありません


コメントを残す