IDPTrust
IDPTrust Blog
blog.idptrust.com
Keycloak 26.6.2: 16 CVEs corregidos — varios explotables sin autenticación

Keycloak 26.6.2: 16 CVEs corregidos — varios explotables sin autenticación

· Security · IDPTrust

Keycloak 26.6.2 fue publicado el 19 de mayo de 2026 y es, casi en su totalidad, una publicación de seguridad: 16 CVEs corregidos en una sola release. Varios afectan al flujo de login OIDC, a la validación de redirect URI y al endpoint SAML. Si tu instancia de Keycloak está expuesta a internet, esta actualización es prioritaria.

A continuación, los puntos que más importan.

Los más urgentes

CVE-2026-7504 · CVSS 8.1 (Alto) — Bypass de validación de redirect URI

Un fallo en la validación de redirect URIs con patrón comodín (*) permite eludir las restricciones de ruta permitida y desviar el flujo de autorización a un destino controlado por el atacante. La consecuencia habitual es el robo del access token.

CVE-2026-7507 · CVSS 7.5 (Alto) — Session fixation en el login OIDC

Un fallo en el flujo de login OIDC permite a un atacante fijar la sesión de la víctima y, tras la autenticación legítima del usuario, tomar el control de la cuenta. No requiere ingeniería social compleja: basta con que la víctima inicie sesión desde un enlace controlado por el atacante.

CVE-2026-7307 · CVSS 7.5 (Alto) — Denegación de servicio en el endpoint /saml

Una entrada XML manipulada al endpoint SAML provoca consumo excesivo de CPU y agotamiento de threads. Explotable de forma remota y sin autenticación. Relevante si tienes federación SAML expuesta públicamente.

CVE-2026-7571 · CVSS 7.1 (Alto) — Divulgación de access token y bypass del flujo implícito

Mediante datos de cliente falsificados durante el reinicio de sesión, un atacante con credenciales de usuario y el client ID puede obtener access tokens vulnerando el control que desactiva el flujo implícito en clientes OIDC.

Control de acceso y fugas de datos

  • CVE-2026-4630 — IDOR en la Authorization Services Protection API.
  • CVE-2026-4628 · CVSS 5.8 — Control de acceso deficiente en endpoints UMA de gestión de recursos.
  • CVE-2026-37981 — Enumeración de PII vía Account Resources User Lookup.
  • CVE-2026-37978 — Fuga de PII entre roles a través de los endpoints evaluate-scopes.
  • CVE-2026-37979 — El endpoint de introspección OIDC no aplica restricción de audiencia.

Si usas UMA 2.0 o Authorization Services, revisa esta lista con atención.

XSS, replay y WebAuthn

  • CVE-2026-37980 · CVSS 6.9 — XSS almacenado en select-organization.ftl (afecta a la feature Organizations).
  • CVE-2026-37982 — Replay del token de execute-actions permite inscripción no autorizada de credenciales WebAuthn.
  • CVE-2026-6856 — Bypass de política AAGUID en WebAuthn mediante packed self-attestation.

Infraestructura y dependencias

  • CVE-2026-33871 — HTTP/2 CONTINUATION frame flood (DoS).
  • CVE-2026-33870 — HTTP request smuggling mediante parsing de chunked extension.
  • CVE-2026-5588 y vulnerabilidades adicionales en Bouncy Castle, parcheadas vía actualización a Quarkus 3.33.1.1.

¿Deberías actualizar?

Sí, y sin esperar al próximo ciclo de mantenimiento. Varias de estas vulnerabilidades — session fixation, redirect URI bypass, DoS en SAML — son explotables sin autenticación previa. La superficie de ataque es cualquier instancia accesible por red.

Notas de publicación completas: keycloak.org/2026/05/keycloak-2662-released

En IDPTrust nos especializamos en Keycloak en producción. Si necesitas ayuda para evaluar el impacto de esta release en tu entorno o planificar el upgrade, contáctanos.