发布日期：2026-02-09
更新日期：2026-05-18

受影响系统：

Keycloak Keycloak

描述：

---

CVE(CAN) ID: CVE-2026-1486

Keycloak是Keycloak开源的一种开源身份和访问管理解决方案。
Keycloak存在未授权访问漏洞，该漏洞源于jwt-authorization-grant流程中服务器未在颁发令牌前验证身份提供商是否启用，攻击者可利用该漏洞生成Keycloak可接受的合法JWT断言，进而获取有效的访问令牌，导致越权访问。

<**>

建议：

---

厂商补丁：

Keycloak
--------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://access.redhat.com/errata/RHSA-2026:2366

浏览次数：81
严重程度：0（网友投票）