Keycloak
26.5.7Security26.5.7은 권한 상승, 리다이렉트 URI 우회, 비인가 교차 사용자 권한 부여 등 7개 CVE를 수정한 긴급 보안 릴리스입니다. 즉시 업그레이드하십시오.
security즉시 패치 — 복수의 고위험 CVE 포함
이번 릴리스에서 7개의 CVE가 수정됩니다. 권한 상승(CVE-2026-4282), 리다이렉트 URI 우회(CVE-2026-3872), 교차 사용자 권한 인젝션(CVE-2026-4636), 비인증 DoS(CVE-2026-4634)까지 공격 범위가 넓습니다. 특히 UMA 정책을 쓰거나 Admin REST API를 외부에 노출하는 환경이라면 긴급 패치로 취급해야 합니다. 변경 관리 프로세스를 최대한 단축해 26.5.7로 업그레이드하십시오.
security업그레이드 후 Admin API 접근 권한과 UMA 정책 구성 감사 필요
CVE-2025-14083(Admin API 정보 노출)과 CVE-2026-4636(UMA 교차 사용자 권한 부여)은 엔드포인트 접근 제어가 제대로 적용되지 않았음을 보여줍니다. 업그레이드 후 Admin REST API에 접근 가능한 클라이언트와 서비스 계정을 점검하고, UMA 리소스 및 정책 정의에서 비정상적인 권한 부여 내역이 없는지 확인하십시오. 패치만으로는 이미 잘못 구성된 접근 경로를 닫을 수 없습니다.
enhancementQuarkus 3.27.3 업그레이드 — 런타임 동작 변경 여부 확인 권장
Quarkus 런타임 업그레이드로 CVE-2026-1002(vertx-core 정적 파일 핸들러 캐시 조작 DoS)도 함께 수정됩니다. 커스텀 테마를 사용하거나 Keycloak을 통해 정적 콘텐츠를 제공한다면, 업그레이드 후 자산이 정상적으로 로드되는지 확인하십시오. Quarkus 마이너 버전 업그레이드는 기본 설정이 바뀌는 경우가 있으므로 로그인 플로우 스모크 테스트를 한 번 돌려보는 것이 좋습니다.
주요 변경 (5)
- CVE-2025-14083: Admin REST API 접근 제어 미흡으로 비인가 사용자에게 정보 노출
- CVE-2026-4282: SingleUseObjectProvider 격리 결함으로 위조된 인증 코드 생성 가능 — 권한 상승 위험
- CVE-2026-3872: OIDC 인증 엔드포인트에서 ..;/ 경로 순회로 리다이렉트 URI 검증 우회
- CVE-2026-4636: UMA 정책 리소스 인젝션으로 비인가 교차 사용자 권한 부여 가능
- CVE-2026-4634: 스코프 처리 로직을 악용한 애플리케이션 수준 DoS — 인증 없이도 트리거 가능