IDPTrust
IDPTrust Blog
blog.idptrust.com

Keycloak 26.5.7 — 7 CVEs corregidos, dos de ellos críticos

· Security · IDPTrust

Keycloak 26.5.7 fue publicado el 2 de abril de 2026. Es casi en su totalidad una publicación de seguridad — 7 CVEs abordados de una vez. Si ejecutas Keycloak en producción, esta actualización no es opcional.

A continuación, un desglose de lo que se corrigió y la severidad de cada problema.

Críticos — parchea de inmediato

CVE-2026-4282 · CVSS 7.4 (Alto) — Escalada de privilegios mediante códigos de autorización falsificados

El componente SingleUseObjectProvider, un almacén global de clave-valor utilizado internamente por Keycloak, carece de aislamiento adecuado de tipo y espacio de nombres. Un atacante no autenticado puede explotar este fallo para falsificar códigos de autorización y utilizarlos para obtener tokens de acceso con privilegios de administrador — sin credenciales y sin interacción del usuario.

Esta es la vulnerabilidad más peligrosa de esta publicación. No requiere autenticación, no requiere interacción del usuario, y una explotación exitosa otorga al atacante control administrativo completo sobre tu instancia de Keycloak.

Qué revisar: Examina cualquier exposición de red externa de tus endpoints de Keycloak. Asegúrate de que tu instancia esté actualizada antes que cualquier otra cosa.

CVE-2026-3872 · CVSS 7.3 (Alto) — Omisión de validación de redirect URI mediante path traversal

Un fallo en la forma en que Keycloak valida redirect URIs con patrones comodín permite a un atacante que controla cualquier otra ruta en el mismo servidor web eludir la restricción de ruta permitida usando una secuencia ..;/ en el endpoint de autorización OIDC. Una explotación exitosa conduce al robo del token de acceso.

Qué revisar: Si tu instancia de Keycloak comparte hostname con otras aplicaciones, esto es especialmente relevante. Revisa tus configuraciones de redirect URI y asegúrate de que los patrones comodín sean lo más restrictivos posible.

Altos — revisa tu configuración

CVE-2026-4636 — Inyección de política UMA permite conceder permisos entre usuarios

Un usuario autenticado puede inyectar una referencia de recurso en una política UMA de forma que le concede acceso no autorizado a recursos de otros usuarios. Afecta a despliegues que usan UMA 2.0 para compartir recursos.

CVE-2026-3429 — Control de LoA incorrecto durante la eliminación de credenciales (Account API)

La Account REST API no aplica correctamente el Level of Assurance requerido cuando un usuario elimina una credencial. Esto puede explotarse para eliminar factores MFA y tomar el control de una cuenta sin cumplir los requisitos de autenticación que exige la política.

CVE-2026-4634 — DoS a nivel de aplicación mediante procesamiento de scopes

Keycloak no limita adecuadamente el procesamiento de parámetros de scope de OpenID Connect. Un atacante no autenticado puede enviar peticiones manipuladas que provoquen un procesamiento excesivo, degradando la disponibilidad de la instancia sin necesidad de credenciales.

Moderados

CVE-2025-14083 — Divulgación de información mediante la Admin REST API

Un usuario con únicamente el permiso create-client — considerado de bajo privilegio por diseño — puede acceder al endpoint /admin/realms/master/users/profile y leer datos internos del esquema de perfil de usuario, incluidos nombres de atributos, reglas de validación y mapeos de permisos.

CVE-2026-1002 — Manipulación de caché de ficheros estáticos de Vert.x

El manejador de ficheros estáticos del framework Vert.x subyacente puede tener su caché manipulada de forma que deniega el acceso legítimo a recursos estáticos. Corregido en esta publicación mediante la actualización de la dependencia Quarkus 3.27.3.

Cambios adicionales

  • Quarkus actualizado a 3.27.3.
  • Una corrección de bug: las llamadas sin cabecera Host ya no lanzan un error no capturado.

¿Deberías actualizar?

Sí, y pronto. Dos de estos CVEs no requieren autenticación para ser explotados. La superficie de ataque es cualquier instancia de Keycloak accesible a través de la red.

Si estás ejecutando una versión anterior a la 26.5.7 — o peor aún, todavía en una distribución basada en WildFly — esta publicación es un buen recordatorio de que mantenerse actualizado no es solo una buena práctica, es un requisito de seguridad.

Notas de publicación completas: keycloak.org/2026/04/keycloak-2657-released

En IDPTrust nos especializamos en Keycloak en producción. Si necesitas ayuda para evaluar el impacto de esta publicación en tu entorno o planificar una actualización, contáctanos.