漏洞概述 漏洞名称: CVE-2026-11986 漏洞类型: Authorization Bypass vulnerability 描述: 在Keycloak admin-ui-ext bulk role-mapping-delete endpoints中存在授权绕过漏洞。该实现仅执行容器级别的授权检查(requireAnyRole),但未强制执行标准Admin REST API所需的每个角色授权检查(requireMapRole)。因此,具有高级权限的特定委托管理员(具有manage-users权限)可以绕过预期限制,移除敏感的真实管理角色(如manage-realm、manage-clients或realm-admin)从其他管理员。此操作在尝试通过标准Admin REST API时会被正确阻止,并返回403 Forbidden错误。 影响范围 产品: Keycloak 组件: vulnerability 硬件: All 操作系统: Linux 优先级: medium 严重程度: medium 目标里程碑: --- 分配给: Product Security QA联系人: --- 文档联系人: --- URL: --- 白名单: --- 依赖项: --- 阻塞项: --- 树视图: depends on / blocked 修复方案 报告日期: 2026-06-11 14:15 UTC by OSIDB Bosport 修改日期: 2026-06-11 14:28 UTC CC列表: 27 users (show) 修复版本: --- 关闭原因: --- 环境: --- 最后关闭: --- 已禁用: --- POC代码或利用代码 页面中未包含具体的POC代码或利用代码。 其他信息 附件: --- 评论: 需要登录才能在此bug上发表评论或进行更改。 总结 该漏洞涉及Keycloak admin-ui-ext中的授权绕过问题,允许具有特定权限的管理员绕过预期限制,移除敏感的真实管理角色。目前尚未提供具体的修复方案和POC代码。