IDPTrust
IDPTrust Blog
blog.idptrust.com
Notas de versión Keycloak 26.6.3 — 16 CVEs corregidos, incluyendo escalamiento de privilegios y SSRF

Notas de versión Keycloak 26.6.3 — 16 CVEs corregidos, incluyendo escalamiento de privilegios y SSRF

· Security · IDPTrust

Keycloak 26.6.3 fue publicado el 4 de junio de 2026. Como su predecesor 26.6.2, es casi en su totalidad una publicación de seguridad: 16 CVEs corregidos en una sola release. La lista incluye escalamiento de privilegios vía token exchange, server-side request forgery en el endpoint OIDC y refresh tokens que sobreviven un reinicio del servidor. Si tu instancia de Keycloak es accesible por red, esta actualización no es opcional.

A continuación, los puntos que más importan.

Los más urgentes

CVE-2026-9704 — Escalación de privilegios mediante eliminación silenciosa de subject_token

Durante el token exchange, Keycloak descarta silenciosamente el parámetro subject_token en ciertas condiciones en lugar de rechazar la petición. Un atacante puede abusar de esto para obtener tokens con privilegios elevados sin presentar credenciales válidas para la identidad objetivo.

CVE-2026-4874 — Server-Side Request Forgery en el endpoint de token OIDC

Una petición manipulada al endpoint de token OIDC puede hacer que Keycloak realice peticiones HTTP salientes a destinos controlados por el atacante. Explotable de forma remota. Relevante en cualquier despliegue donde Keycloak pueda alcanzar servicios internos.

CVE-2026-8922 — Introspección de tokens ignorando notBefore a nivel de realm

El endpoint de introspección OIDC no aplica la política notBefore configurada a nivel de realm. Los tokens que deberían haberse invalidado tras un reset global de credenciales permanecen válidos desde el punto de vista del endpoint de introspección.

CVE-2026-9802 — Refresh tokens rotados reutilizables tras reinicio del servidor

El estado de rotación de refresh tokens no se persiste entre reinicios del servidor. Tras un reinicio, los refresh tokens previamente rotados (y por tanto invalidados) vuelven a ser utilizables. Afecta a cualquier despliegue que use rotación de refresh tokens.

Control de acceso y fugas de datos

  • CVE-2026-37977Access-Control-Allow-Origin reflejado en el endpoint UMA basándose en un claim JWT no verificado. Permite peticiones cross-origin desde orígenes controlados por el atacante.
  • CVE-2026-7500 — Control de acceso incorrecto cuando la Account API está deshabilitada a nivel de realm. Ciertos endpoints permanecen accesibles aunque la funcionalidad esté desactivada.
  • CVE-2026-9088 — El endpoint de miembros de grupo elude las comprobaciones de permisos de perfil de usuario. Los llamantes pueden enumerar miembros aunque la visibilidad del perfil esté restringida.
  • CVE-2026-9791 — Datos de organizaciones expuestos a través de APIs cuando la funcionalidad Organizations está deshabilitada.
  • CVE-2026-9792 — El grant ROPC (Resource Owner Password Credentials) elude la aplicación de políticas de cliente. Las políticas destinadas a restringir el uso del direct grant pueden ser ignoradas.

Federación de identidad y WebAuthn

  • CVE-2026-8830 — Validaciones ausentes durante el registro de credenciales WebAuthn permiten inscribir credenciales que eluden las comprobaciones de attestation.
  • CVE-2026-9087 — La verificación de correo electrónico en first-broker-login no está vinculada a la identidad de origen. Un usuario puede verificar un email que pertenece a una cuenta de otro proveedor de identidad.

Denegación de servicio

  • CVE-2026-0707 — Un header Authorization malformado en ClientRegistrationAuth provoca una excepción no controlada y una DoS. Explotable sin autenticación en el endpoint de registro de clientes.
  • CVE-2026-9801 — Un PasswordPolicyControl malformado en peticiones de federación LDAP provoca una DoS en el subsistema LDAP.

Infraestructura y dependencias

  • CVE-2026-4800 — Inyección de código en lodash a través de _.template en la Account UI. Explotable si datos controlados por el usuario llegan al renderizador de plantillas.
  • CVE-2026-42581 — La combinación de headers HTTP/1.0 TE+CL en Netty elude la sanitización de request smuggling.
  • CVE-2026-9794 — El faultstring de SAML ECP revela si un client ID concreto existe en el realm.

Esta release también actualiza a Quarkus 3.33.2 y corrige 26 bugs adicionales, incluyendo problemas con el manejo de CORS y casos extremos en migraciones asíncronas.

Cambios de migración

Esta release incluye cambios que rompen compatibilidad. Antes de actualizar, revisa la guía de migración oficial.

¿Deberías actualizar?

Sí. CVE-2026-9704 (escalamiento de privilegios) y CVE-2026-4874 (SSRF) son los dos en los que centrarse primero — ambos son explotables por usuarios autenticados y podrían resultar en acceso no autorizado a recursos internos o tokens con privilegios elevados. CVE-2026-9802 (reutilización de refresh tokens) es especialmente relevante para entornos de alta seguridad que dependen de la rotación de tokens como mecanismo de control de sesión.

Notas de publicación completas: keycloak.org/2026/06/keycloak-2663-released

En IDPTrust nos especializamos en Keycloak en producción. Si necesitas ayuda para evaluar el impacto de esta release en tu entorno o planificar el upgrade, contáctanos.