Bollettino 97/2026

descrizione

Red Hat ha pubblicato un aggiornamento di sicurezza per Red Hat build of Keycloak, piattaforma standalone per l’autenticazione e il Single Sign‑On basata sul progetto open source Keycloak, volto a correggere diverse vulnerabilità di sicurezza che interessano i meccanismi di autorizzazione, la gestione dei token, la validazione dei parametri OpenID Connect e l’isolamento dei componenti interni.

Tra le vulnerabilità corrette figura CVE‑2026‑4636, che consente a un utente autenticato in possesso del ruolo uma_protection di aggirare la validazione delle policy di User‑Managed Access (UMA). L’access control incompleto permette all’attaccante di includere identificativi di risorse appartenenti ad altri utenti durante la creazione di policy di autorizzazione, ottenendo così permessi non autorizzati su risorse di terzi. Questo comportamento consente il rilascio di Requesting Party Token (RPT) validi per risorse non legittime, con accesso a informazioni sensibili o possibilità di eseguire azioni non autorizzate.

L’aggiornamento corregge inoltre una vulnerabilità di divulgazione di informazioni (CVE‑2026‑3872) causata da un bypass della validazione del parametro redirect_uri, che può permettere l’esposizione di dati sensibili nel contesto dei flussi OAuth2/OpenID Connect. È stata inoltre risolta una vulnerabilità (CVE‑2026‑4325) che consente il riutilizzo (replay) dei token di azione, dovuta a una gestione non corretta delle entry a utilizzo singolo, con potenziali impatti sull’integrità dei flussi di autenticazione e autorizzazione.

Ulteriori problematiche includono CVE‑2026‑4282, una vulnerabilità di privilege escalation che consente la creazione di authorization code falsificati a causa di un isolamento insufficiente del componente SingleUseObjectProvider, e CVE‑2026‑4634, una vulnerabilità di Denial of Service che può essere sfruttata inviando richieste contenenti un numero eccessivo di parametri scope nei flussi OpenID Connect, causando un consumo anomalo delle risorse di sistema.

Red Hat ha risolto tutte le vulnerabilità rilasciando Red Hat build of Keycloak 26.2.15. Non sono riportati workaround efficaci; si raccomanda pertanto di procedere all’aggiornamento dopo aver eseguito un backup completo dell’installazione, incluse configurazioni, applicazioni integrate e database. Le installazioni non aggiornate devono essere considerate esposte a rischi elevati in termini di accesso non autorizzato, escalation di privilegi e indisponibilità del servizio.

note

Le vulnerabilità impattano Red Hat build of Keycloak, piattaforma standalone per autenticazione e Single Sign-On. Le condizioni di sfruttamento includono la presenza di utenti autenticati con ruolo uma_protection (CVE-2026-4636), la possibilità di inviare richieste con redirect_uri manipolato (CVE-2026-3872), e l'invio di richieste con numerosi parametri scope (CVE-2026-4634). Non sono riportati exploit in the wild. L'aggiornamento risolutivo è Red Hat build of Keycloak 26.2.15. Non sono disponibili workaround efficaci; è raccomandato aggiornare dopo backup completo di configurazioni, applicazioni e database. Le installazioni non aggiornate sono esposte a rischi elevati di accesso non autorizzato, privilege escalation e Denial of Service. Priorità tecnica: alta.

CVE

CVE	CVSS-3.1	CVSS-4.0	EPSS
CVE-2026-4634	8.0	--	0.088% \| 25.09%
CVE-2026-4636	8.0	--	0.027% \| 7.76%
CVE-2026-3872	7.0	--	0.033% \| 9.56%
CVE-2026-4282	7.0	--	0.044% \| 13.58%
CVE-2026-4325	5.0	--	0.037% \| 11.18%

tipi di attacco

CWE	descrizione
CWE-601	URL Redirection to Untrusted Site ('Open Redirect')
CWE-653	Improper Isolation or Compartmentalization
CWE-551	Incorrect Behavior Order: Authorization Before Parsing and Canonicalization
CWE-1050	Excessive Platform Resource Consumption within a Loop