RATATOSKRATATOSK
로그인

Keycloak

26.6.3Security
2026년 6월 5일

Keycloak 26.6.3은 OIDC, SAML, LDAP, WebAuthn, 인가 서비스 전반에 걸쳐 16개의 CVE를 수정한 긴급 보안 패치입니다. 즉시 업그레이드해야 합니다.

  • security16개 CVE 포함 — 즉시 26.6.3으로 업그레이드

    이번 릴리스에서 패치된 취약점 중 특히 위험한 항목은 다음과 같습니다. CVE-2026-9704(토큰 교환 시 subject_token 묵시적 제거를 통한 권한 상승), CVE-2026-4874(OIDC 토큰 엔드포인트 SSRF), CVE-2026-9802(서버 재시작 후 교체된 리프레시 토큰 재사용), CVE-2026-8830(WebAuthn 서버 측 검증 누락). 26.x 버전을 운영 중이라면 정기 유지보수 일정을 기다리지 말고 즉시 패치 창을 잡으세요. 업그레이드 전 마이그레이션 가이드를 반드시 확인해야 합니다.

  • security와일드카드 리다이렉트 URI 수정 후 클라이언트 설정 검토 필요

    와일드카드 리다이렉트 URI 매칭 로직이 변경되었습니다. 호스트명 바로 뒤에 '*'를 붙인 패턴이 임의의 서브도메인이나 경로와 일치하지 않도록 강화되었습니다. 업그레이드 후 기존 클라이언트의 리다이렉트 URI가 정상 동작하는지 각 환경에서 반드시 확인하세요. 지나치게 넓게 설정된 와일드카드 패턴이 있다면 이번 기회에 정리하는 것을 권장합니다.

  • securityLDAP 페더레이션 및 토큰 교환 설정 점검

    CVE-2026-9801은 LDAP 페더레이션에서 잘못된 형식의 PasswordPolicyControl을 통한 DoS 공격을 허용합니다. 외부 트래픽이 LDAP 기반 인증 흐름에 닿을 수 있는 구성이라면 우선순위를 높여 패치하세요. CVE-2026-9704는 토큰 교환 사용 시 subject_token 제거를 통한 권한 상승 문제로, 업그레이드 후 토큰 교환 정책 범위가 올바르게 설정되어 있는지 재확인해야 합니다.

주요 변경 (5)

  • 16개 CVE 패치: 토큰 교환 권한 상승, OIDC 엔드포인트 SSRF, 검증되지 않은 JWT azp 클레임의 CORS 헤더 반영, WebAuthn 등록 우회 등
  • 서버 재시작 시 startupTime 초기화 버그 수정 — revokeRefreshToken=true 설정에서 교체된 리프레시 토큰이 재사용되던 취약점(CVE-2026-9802) 해결
  • 와일드카드 리다이렉트 URI 매칭이 호스트 경계를 강제 적용하도록 수정 — 기존에는 서브도메인·경로 우회 공격이 가능했음
  • ROPC 그랜트 클라이언트 정책 우회 및 토큰 인트로스펙션의 notBefore 처리 오류 수정
  • 시작 시 DB 인덱스 누락 여부 체크 추가, SQL Server 대소문자 구분 콜레이션 환경 업그레이드 실패 수정