漏洞概述 漏洞编号:CVE-2026-9705 漏洞标题:Keycloak: 攻击者可以通过注册访问令牌重新启用并接管被禁用的客户端 状态:NEW 报告日期:2026-05-27 12:50 UTC 修改日期:2026-06-25 15:59 UTC CC列表:11 users (show) 产品:Security Response 组件:vulnerability 版本:unspecified 硬件:All 操作系统:Linux 优先级:medium 严重性:medium 目标里程碑:未指定 分配给:Product Security 影响范围 描述:在Keycloak的客户端注册服务中发现了一个漏洞。远程攻击者,如果拥有之前颁发的注册访问令牌(RAT),可以利用此漏洞重新启用一个管理员明确禁用的客户端。这绕过了安全控制,允许攻击者重置客户端的秘密并可能重新获得特权API访问权限。主要影响包括未经授权的信息披露和潜在的完整性损害。 修复方案 修复版本:未指定 关闭日期:未指定 环境:未指定 最后关闭:未指定 Embargoed:未指定 附件 附件名称:OSIDB Bzimport 附件日期:2026-05-27 12:50:54 UTC 附件描述: 备注 备注:您需要登录才能在此漏洞上发表评论或进行更改。 其他信息 链接: - Terms of Use - Privacy - Contact - FAQ - Legal 总结 该漏洞涉及Keycloak客户端注册服务中的安全问题,允许攻击者通过注册访问令牌重新启用被禁用的客户端,从而导致未经授权的信息披露和潜在的完整性损害。目前尚未提供具体的修复版本和关闭日期。