RATATOSKRATATOSK
로그인

Keycloak

26.6.4Security
2026년 6월 27일

Keycloak 26.6.4는 CVE 8건을 수정하는 보안 릴리스로, critical 등급 두 건(권한 상승, JWT 인증 우회)과 high 등급 인가 우회 네 건이 포함되어 있습니다. 가능한 빨리 업그레이드하는 것을 권장하며, Quarkus도 3.33.2.1로 함께 올라갔습니다.

  • securitycritical 등급 취약점 두 건: 그룹 관리자 권한 상승, JWT 인증 우회

    CVE-2026-9099는 그룹 관리자가 realm-admin 권한까지 획득할 수 있는 취약점이고, CVE-2026-11800은 JWT 알고리즘 혼동을 이용한 인증 우회입니다. 둘 다 critical 등급이므로 가능한 빨리 26.6.4로 업그레이드해야 합니다.

  • securityhigh 등급 인가·접근 제어 우회 취약점 네 건

    CVE-2026-9705(등록 액세스 토큰을 이용한 클라이언트 탈취), CVE-2026-9795(스코프 매핑 오류로 인한 권한 상승), CVE-2026-9799(UMA 권한 티켓 우회), CVE-2026-9800(Policy Enforcer의 URI 비교 오류로 인한 인가 우회) 모두 high 등급입니다. UMA 인가, 세분화된 스코프 매핑, Policy Enforcer를 사용 중이라면 이번 업그레이드를 우선순위에 두세요.

  • securitymedium 등급 취약점 두 건: 정보 노출과 XSS

    CVE-2026-9083(파일시스템 경로 탐지를 통한 정보 노출)과 CVE-2026-9086(대소문자 무시 URI 검증 우회로 인한 XSS)은 medium 등급으로 함께 수정되었습니다.

주요 변경 (5)

  • 이번 릴리스에서 CVE 8건이 수정되었고 그중 두 건이 critical입니다: CVE-2026-9099(그룹 관리자의 realm-admin 권한 상승), CVE-2026-11800(JWT 알고리즘 혼동을 통한 인증 우회)
  • high 등급 수정 네 건: 등록 액세스 토큰을 이용한 클라이언트 탈취(CVE-2026-9705), 스코프 매핑 권한 상승(CVE-2026-9795), UMA 권한 티켓 우회(CVE-2026-9799), Policy Enforcer의 URI 비교 오류로 인한 인가 우회(CVE-2026-9800)
  • medium 등급 수정 두 건: 파일시스템 경로 탐지 정보 노출(CVE-2026-9083), URI 검증 우회 XSS(CVE-2026-9086)
  • Quarkus 의존성이 3.33.2.1로 업그레이드됨
  • 그 외 자잘한 빌드·패키징 수정: 26.2 브랜치의 Infinispan protoschema 빌드 문제, JS와 Admin Client 테스트 스위트 CI 수정, keycloak-api-docs-dist 패키징 수정, 마이그레이션 가이드 참조 오류 수정