CVE-2026-8922— Keycloak 服务 OIDC协议安全缺陷漏洞
影响版本矩阵 1
| 厂商 | 产品 | 版本范围 | 状态 |
|---|---|---|---|
| Red Hat | Red Hat Build of Keycloak | 全部 | affected |
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-8922 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Org.keycloak/keycloak-services: keycloak: org.keycloak.protocol.oidc: security flaw in org.keycloak/keycloak-services
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
A flaw was found in Keycloak. When both realm-level and client-level `notBefore` revocation policies are configured, Keycloak's OpenID Connect (OIDC) Introspection feature fails to properly honor the realm-level policy. This allows tokens that should have been revoked to remain active, potentially leading to unauthorized access or continued session validity. This could impact the security of systems utilizing Keycloak for identity and access management.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
认证算法的不正确实现
来源: 美国国家漏洞数据库 NVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| Red Hat | Red Hat Build of Keycloak | - | cpe:/a:redhat:build_keycloak: |
二、漏洞 CVE-2026-8922 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-8922 的情报信息
请登录查看更多情报信息。
同批安全公告 · Red Hat · 2026-05-19 · 共 11 条
| CVE-2026-7504 | 8.1 HIGH | Keycloak Wildcard Valid Redirect URIs 导致重定向漏洞 |
| CVE-2026-7507 | 7.5 HIGH | Keycloak OIDC会话固定导致账号接管漏洞 |
| CVE-2026-7307 | 7.5 HIGH | Keycloak SAML输入拒绝服务漏洞 |
| CVE-2026-7571 | 7.1 HIGH | Keycloak 访问令牌泄露及隐式流程绕过漏洞 |
| CVE-2026-37982 | 6.8 MEDIUM | Keycloak WebAuthn令牌重放致账号接管 |
| CVE-2026-4630 | 6.8 MEDIUM | Keycloak 通过不安全的直接对象引用导致越权访问 |
| CVE-2026-37979 | 6.5 MEDIUM | Keycloak OIDC令牌信息泄露漏洞 |
| CVE-2026-37978 | 4.9 MEDIUM | Keycloak 信息泄露漏洞 |
| CVE-2026-37981 | 4.3 MEDIUM | Keycloak 用户查询接口信息泄露漏洞 |
| CVE-2026-8830 | 4.3 MEDIUM | Keycloak WebAuthn凭据注册策略绕过漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-8922
暂无评论