Keycloak
26.5.6SecurityKeycloak 26.5.6은 SSRF, 토큰 재사용, IDOR, 권한 상승 등 8개 CVE를 패치하는 긴급 보안 릴리스입니다. 즉시 업그레이드가 필요합니다.
security8개 CVE 패치 — 즉시 26.5.6으로 업그레이드
SSRF, 토큰 재생, 권한 상승, IDOR, 다중 정보 노출 경로를 포함한 8개 CVE가 수정되었습니다. 특히 jwks_uri 경유 SSRF, manage-clients 권한 상승, 인증 세션 오염은 멀티테넌트 또는 외부 노출 환경에서 매우 위험합니다. 별도의 완화 방법은 없으며 업그레이드가 유일한 해결책입니다. 26.x 버전을 운영 중이라면 긴급 패치로 처리하세요.
securitymanage-clients 권한 부여 내역 및 동적 클라이언트 등록 설정 점검
CVE-2026-3121(manage-clients 권한 상승)과 CVE-2026-1180(동적 클라이언트 등록의 jwks_uri SSRF)은 현재 권한 설정과 기능 활성화 여부를 함께 검토해야 합니다. 업그레이드 후 manage-clients를 보유한 사용자·서비스 계정을 감사하세요. OIDC 동적 클라이언트 등록을 사용하지 않는다면 렐름 단위에서 비활성화해 SSRF 공격면을 완전히 제거하세요.
breaking업그레이드 후 Operator DB 설정 및 다중 렐름 시작 동작 검증 필요
26.5.0에서 도입된 Operator의 DB targetServerType=primary 미적용 문제(마스터-레플리카 페일오버 시 연결 검증 실패)와 26.5.4에서 발생한 O(N²) 시작 스캔 회귀가 모두 수정되었습니다. 해당 버그를 경험했다면 업그레이드 후 DB 페일오버 동작과 시작 시간을 반드시 확인하세요. 렐름이 많은 대규모 환경에서는 재시작 속도가 눈에 띄게 빨라질 겁니다.
주요 변경 (6)
- CVE-2026-1180: OIDC 동적 클라이언트 등록의 jwks_uri를 통한 블라인드 SSRF — 내부 네트워크 탐색 가능
- CVE-2026-1035: TOCTOU 경쟁 조건을 이용한 리프레시 토큰 재사용 우회 — 토큰 재생 공격 가능
- CVE-2026-3121: manage-clients 권한을 통한 권한 상승 — 낮은 권한 사용자가 상위 권한 획득 가능
- CVE-2025-14777: 렐름 클라이언트 생성/삭제 시 IDOR — 무단 클라이언트 조작 가능
- 버그 수정: AUTH_SESSION_ID 쿠키 재사용으로 재인증 시 세션 오염 발생 — 심각한 데이터 격리 문제 해결
- 버그 수정: 26.5.4에서 도입된 다수 렐름 환경의 O(N²) 시작 시간 회귀 수정