漏洞概述 漏洞名称: CVE-2026-14613 漏洞描述: Keycloak的Fine-Grained Admin Permissions v2 (FGAP v2) 实现中存在一个漏洞。当启用FGAP v2时,角色组端点(GET /admin/realms/{realm}/clients/{clientId}/roles/{roleName}/groups 和 GET /admin/realms/{realm}/roles/{roleName}/groups)未能正确执行按组查看权限。RoleContainerResource.getGroupsInRole() 方法仅验证调用者是否有权限查看角色本身(auth.roles().requireView(roleContainer)),然后返回所有映射到该角色的组的表示,而不验证调用者是否有权限查看每个单独的组(auth.groups().canView(group))。这允许具有角色查看权限的委派管理员枚举隐藏组并检索其元数据,包括名称、路径和自定义属性,即使直接访问这些组被正确拒绝并返回403 Forbidden错误。 影响范围 组件: keycloak-services 漏洞类型: 安全响应 严重程度: 中等 优先级: 中等 硬件: 40 操作系统: Linux 目标里程碑: 未指定 分配给: 产品安全 QA联系人: 未指定 文档联系人: 未指定 URL: 未指定 依赖项: 未指定 阻塞项: 未指定 修复方案 修复版本: 未指定 关闭时间: 未指定 最后关闭: 未指定 已屏蔽: 未指定 POC代码或利用代码 页面中未包含POC代码或利用代码。 其他信息 报告时间: 2026-07-03 14:48 UTC by OSIDB Bosport 修改时间: 2026-07-03 15:08 UTC (History) CC列表: 29 users (rhino) 关键词: Security 别名: CVE-2026-14613 状态: NEW 环境: 未指定 附件: 未指定 条款使用: 未指定 描述: 2026-07-03 14:48:59 UTC: 未指定 注意事项 需要登录才能评论或对此bug进行更改。