Keycloak 26.6.4 — Si tu instancia es accesible desde internet, actualiza

Keycloak 26.6.4 — Si tu instancia es accesible desde internet, actualiza

· Security · IDPTrust

Keycloak 26.6.4 fue publicado el 26 de junio de 2026, apenas tres semanas después de la 26.6.3. Es de nuevo una publicación casi exclusivamente de seguridad: 8 CVEs corregidos. Encabezan la lista un bypass de autenticación —una forma de saltarse el proceso de login sin credenciales válidas— por manipulación del algoritmo de firma JWT, y un escalado desde group-admin hasta realm-admin — dos fallos que, en el peor caso, permiten a un atacante hacerse con el control administrativo de un realm. Si tu instancia de Keycloak es accesible por red, actualiza.

A continuación, los puntos que más importan.


Los más urgentes

CVE-2026-11800 — Bypass de autenticación por manipulación del algoritmo de firma JWT

Keycloak acepta un JWT firmado con un algoritmo distinto al esperado, lo que abre la puerta al clásico ataque de manipulación del algoritmo (por ejemplo, tratar como HMAC una clave pública destinada a RSA, o degradar la verificación de firma). El resultado es un bypass de autenticación: un atacante puede forjar un token que Keycloak da por válido sin poseer la clave de firma legítima. Es el fallo más grave de la release y el primero que debes cerrar.

CVE-2026-9099 — Escalado de group-admin a realm-admin

Una cuenta con permisos de administración limitados a un grupo puede escalar hasta obtener privilegios de administrador del realm completo. Convierte un rol de alcance acotado — habitualmente delegado a responsables de equipo o partners — en control total sobre usuarios, clientes y configuración del realm. Crítico en cualquier despliegue multi-tenant o con administración delegada.


Escalamiento de privilegios y bypass de autorización

  • CVE-2026-9795 — Escalamiento de privilegios por aplicación incorrecta del mapeo de scopes. La comprobación de scope mapping no se aplica correctamente, de modo que un token puede acabar con scopes — y por tanto permisos — que no le corresponden.
  • CVE-2026-9799 — Acceso no autorizado a recursos mediante bypass del permission ticket de UMA. El flujo de tickets de permiso de User-Managed Access puede eludirse para obtener acceso a recursos protegidos sin la autorización debida.
  • CVE-2026-9800 — Bypass de autorización en el policy enforcer por comparación incorrecta de URIs. El policy enforcer compara las URIs de forma incorrecta, permitiendo alcanzar rutas protegidas que deberían estar bloqueadas por política.
  • CVE-2026-9705 — Reactivación y toma de control de clientes deshabilitados mediante el registration access token. Un registration access token que sigue siendo válido permite a un atacante reactivar un cliente previamente deshabilitado y tomar el control sobre él.

Divulgación de información y XSS

  • CVE-2026-9083 — Divulgación de información mediante sondeo arbitrario de rutas del sistema de archivos. Un atacante puede inferir la existencia de archivos y rutas en el servidor probando rutas del filesystem.
  • CVE-2026-9086 — Cross-site scripting (XSS) por bypass de la validación de URI sensible a mayúsculas/minúsculas. Una diferencia de capitalización permite eludir la validación de URI e inyectar contenido que termina ejecutándose en el navegador de la víctima.

Infraestructura y dependencias

Esta release actualiza a Quarkus 3.33.2.1 y corrige varios bugs de build e integración continua (problemas de compilación de JavaScript, fallos de tests del Admin Client, documentación incorrecta en la guía de migración y problemas de despliegue de keycloak-api-docs-dist).


Cambios de migración

Antes de actualizar, revisa la guía de migración oficial para confirmar que ningún cambio afecta a tu configuración.


¿Deberías actualizar?

Sí. CVE-2026-11800 (bypass de autenticación) y CVE-2026-9099 (escalado a realm-admin) son los dos en los que centrarse primero: cualquiera de los dos puede dejar a un atacante con el control administrativo del realm. El grupo de escalamiento de privilegios y bypass de autorización (9795, 9799, 9800, 9705) es especialmente relevante si usas autorización fina, UMA o el policy enforcer en tus adaptadores. Planifica la actualización lo antes posible.

Notas de publicación completas: keycloak.org/2026/06/keycloak-2664-released


En IDPTrust nos especializamos en Keycloak en producción. Si necesitas ayuda para evaluar el impacto de esta release en tu entorno o planificar el upgrade, contáctanos.