IDPTrust
IDPTrust Blog
blog.idptrust.com

Keycloak Advisory: Escalada de privilegios en la Consola de Administración (FGAPv2)

· Security · IDPTrust

Resumen Keycloak publicó un nuevo aviso de seguridad: Escalada de privilegios en la Consola de Administración de Keycloak (FGAPv2 habilitado). Fuente oficial: GHSA-27gp-8389-hm4w.

Severidad: Moderada Paquete afectado: org.keycloak:keycloak-services (Maven) Versiones afectadas: > 26.2.0, < 26.2.6 (solo cuando FGAPv2 está habilitado) Versiones parcheadas: 26.2.6 y 26.3.0

¿Cuál es el problema?

Un fallo en la aplicación de permisos de administración permite a un usuario con privilegios manage-users auto-asignarse realm-admin cuando FGAPv2 está habilitado en Keycloak 26.2.x. Causa raíz: ausencia de comprobaciones de límites de privilegio durante el mapeo de roles a través de la Admin REST API. Impacto: un administrador limitado malintencionado podría escalar a administración completa del realm, incluyendo la configuración del realm y el acceso a datos de usuarios.

¿Quién está afectado?

  • Despliegues en Keycloak 26.2.x con FGAPv2 habilitado.
  • Los entornos en 26.2.6+ o 26.3.0 no están afectados.

Nuestro estado (IDPTrust)

  • Todos los clientes gestionados han sido notificados.
  • Las ventanas de parche están programadas en todos los entornos (desarrollo, staging, producción) para migrar a 26.2.6 o 26.3.0 según la compatibilidad.
  • Estamos verificando el uso de FGAPv2 por realm y reforzando los límites de los roles de administración.

Acciones recomendadas

  1. Actualiza a 26.2.6 o 26.3.0 lo antes posible.
  2. Si no puedes actualizar de inmediato:
    • Deshabilita FGAPv2 temporalmente si tu despliegue lo permite.
    • Revisa las asignaciones de usuarios administradores; asegúrate de que ningún usuario con derechos limitados pueda editar sus propios mapeos de roles.
    • Restringe el acceso a la Admin REST API y audita su uso.
  3. Audita los cambios recientes de roles de administración en busca de auto-asignaciones sospechosas.

Cómo comprobar tu despliegue

  • Confirma tu versión de Keycloak: Consola de Administración → Server Info o etiqueta de imagen.
  • Comprueba si FGAPv2 está habilitado en tu realm o en las notas de instalación.
  • Revisa los Eventos de Administración para detectar cambios de mapeo de roles en usuarios administradores.

Cronología

  • Aviso publicado: 29 de julio de 2025 (por rmartinc).
  • Notificación y programación de parches por IDPTrust: 29-07-2025.

Para preguntas o ayuda para planificar la actualización, contacta con tu canal de soporte de IDPTrust.