Keycloak
26.5.5Security2026년 3월 6일
Keycloak 26.5.5는 운영 환경에서 인증 우회와 무단 접근을 허용할 수 있는 4개의 SAML 브로커 취약점을 해결한 중요 보안 릴리스입니다.
securitySAML 사용자는 즉시 업그레이드 필요
이 CVE들은 SAML 브로커 구성에 영향을 주며 인증 우회를 허용할 수 있습니다. SAML ID 제공자나 브로커 기능을 사용한다면 긴급 유지보수를 예약해 즉시 업그레이드하세요. 업그레이드 후 비활성화된 SAML 제공자들이 제대로 보안되었는지 검토하세요.
securitySAML 브로커 구성 감사 실시
업그레이드 후 비활성화된 SAML ID 제공자가 실제로 비활성화되어 인증 요청을 처리할 수 없는지 확인하세요. IdP 시작 로그인 플로우를 점검하고 SAML 어설션의 암호화가 올바르게 작동하는지 검증하세요.
주요 변경 (4)
- CVE-2026-3047 수정: 비활성화된 클라이언트가 IdP 시작 로그인을 완료할 때 발생하는 SAML 브로커 인증 우회
- CVE-2026-3009 해결: 브로커 서비스에서 비활성화된 ID 제공자의 부적절한 강제 실행
- CVE-2026-2603 패치: 비활성화된 SAML IdP가 잘못되게 IdP 시작 로그인을 허용하는 문제
- CVE-2026-2092 보안 강화: SAML 브로커 암호화된 어설션 주입 취약점