RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Keycloak해제 ×

Keycloak

Security2026년 6월 26일

Keycloak 26.6.4는 CVE 8건을 수정하는 보안 릴리스로, critical 등급 두 건(권한 상승, JWT 인증 우회)과 high 등급 인가 우회 네 건이 포함되어 있습니다. 가능한 빨리 업그레이드하는 것을 권장하며, Quarkus도 3.33.2.1로 함께 올라갔습니다.

  • securitycritical 등급 취약점 두 건: 그룹 관리자 권한 상승, JWT 인증 우회

    CVE-2026-9099는 그룹 관리자가 realm-admin 권한까지 획득할 수 있는 취약점이고, CVE-2026-11800은 JWT 알고리즘 혼동을 이용한 인증 우회입니다. 둘 다 critical 등급이므로 가능한 빨리 26.6.4로 업그레이드해야 합니다.

  • securityhigh 등급 인가·접근 제어 우회 취약점 네 건

    CVE-2026-9705(등록 액세스 토큰을 이용한 클라이언트 탈취), CVE-2026-9795(스코프 매핑 오류로 인한 권한 상승), CVE-2026-9799(UMA 권한 티켓 우회), CVE-2026-9800(Policy Enforcer의 URI 비교 오류로 인한 인가 우회) 모두 high 등급입니다. UMA 인가, 세분화된 스코프 매핑, Policy Enforcer를 사용 중이라면 이번 업그레이드를 우선순위에 두세요.

  • securitymedium 등급 취약점 두 건: 정보 노출과 XSS

    CVE-2026-9083(파일시스템 경로 탐지를 통한 정보 노출)과 CVE-2026-9086(대소문자 무시 URI 검증 우회로 인한 XSS)은 medium 등급으로 함께 수정되었습니다.

주요 변경 (5)
  • 이번 릴리스에서 CVE 8건이 수정되었고 그중 두 건이 critical입니다: CVE-2026-9099(그룹 관리자의 realm-admin 권한 상승), CVE-2026-11800(JWT 알고리즘 혼동을 통한 인증 우회)
  • high 등급 수정 네 건: 등록 액세스 토큰을 이용한 클라이언트 탈취(CVE-2026-9705), 스코프 매핑 권한 상승(CVE-2026-9795), UMA 권한 티켓 우회(CVE-2026-9799), Policy Enforcer의 URI 비교 오류로 인한 인가 우회(CVE-2026-9800)
  • medium 등급 수정 두 건: 파일시스템 경로 탐지 정보 노출(CVE-2026-9083), URI 검증 우회 XSS(CVE-2026-9086)
  • Quarkus 의존성이 3.33.2.1로 업그레이드됨
  • 그 외 자잘한 빌드·패키징 수정: 26.2 브랜치의 Infinispan protoschema 빌드 문제, JS와 Admin Client 테스트 스위트 CI 수정, keycloak-api-docs-dist 패키징 수정, 마이그레이션 가이드 참조 오류 수정
원문

Keycloak

Security2026년 6월 4일

Keycloak 26.6.3은 OIDC, SAML, LDAP, WebAuthn, 인가 서비스 전반에 걸쳐 16개의 CVE를 수정한 긴급 보안 패치입니다. 즉시 업그레이드해야 합니다.

  • security16개 CVE 포함 — 즉시 26.6.3으로 업그레이드

    이번 릴리스에서 패치된 취약점 중 특히 위험한 항목은 다음과 같습니다. CVE-2026-9704(토큰 교환 시 subject_token 묵시적 제거를 통한 권한 상승), CVE-2026-4874(OIDC 토큰 엔드포인트 SSRF), CVE-2026-9802(서버 재시작 후 교체된 리프레시 토큰 재사용), CVE-2026-8830(WebAuthn 서버 측 검증 누락). 26.x 버전을 운영 중이라면 정기 유지보수 일정을 기다리지 말고 즉시 패치 창을 잡으세요. 업그레이드 전 마이그레이션 가이드를 반드시 확인해야 합니다.

  • security와일드카드 리다이렉트 URI 수정 후 클라이언트 설정 검토 필요

    와일드카드 리다이렉트 URI 매칭 로직이 변경되었습니다. 호스트명 바로 뒤에 '*'를 붙인 패턴이 임의의 서브도메인이나 경로와 일치하지 않도록 강화되었습니다. 업그레이드 후 기존 클라이언트의 리다이렉트 URI가 정상 동작하는지 각 환경에서 반드시 확인하세요. 지나치게 넓게 설정된 와일드카드 패턴이 있다면 이번 기회에 정리하는 것을 권장합니다.

  • securityLDAP 페더레이션 및 토큰 교환 설정 점검

    CVE-2026-9801은 LDAP 페더레이션에서 잘못된 형식의 PasswordPolicyControl을 통한 DoS 공격을 허용합니다. 외부 트래픽이 LDAP 기반 인증 흐름에 닿을 수 있는 구성이라면 우선순위를 높여 패치하세요. CVE-2026-9704는 토큰 교환 사용 시 subject_token 제거를 통한 권한 상승 문제로, 업그레이드 후 토큰 교환 정책 범위가 올바르게 설정되어 있는지 재확인해야 합니다.

주요 변경 (5)
  • 16개 CVE 패치: 토큰 교환 권한 상승, OIDC 엔드포인트 SSRF, 검증되지 않은 JWT azp 클레임의 CORS 헤더 반영, WebAuthn 등록 우회 등
  • 서버 재시작 시 startupTime 초기화 버그 수정 — revokeRefreshToken=true 설정에서 교체된 리프레시 토큰이 재사용되던 취약점(CVE-2026-9802) 해결
  • 와일드카드 리다이렉트 URI 매칭이 호스트 경계를 강제 적용하도록 수정 — 기존에는 서브도메인·경로 우회 공격이 가능했음
  • ROPC 그랜트 클라이언트 정책 우회 및 토큰 인트로스펙션의 notBefore 처리 오류 수정
  • 시작 시 DB 인덱스 누락 여부 체크 추가, SQL Server 대소문자 구분 콜레이션 환경 업그레이드 실패 수정
원문

Keycloak

Security2026년 5월 19일

Keycloak 26.6.2는 세션 고정 공격, XSS, 접근 제어 우회, 리다이렉트 URI 검증 우회, 암호화 취약점 등 16개 CVE를 수정한 보안 집중 패치입니다. 즉시 업그레이드해야 합니다.

  • security즉시 업그레이드 — 계정 탈취 및 개인정보 노출 CVE 다수 포함

    이번 릴리스는 표준 OIDC 플로우와 관리 API에 직접 영향을 주는 취약점들을 수정합니다. 세션 고정으로 인한 계정 탈취(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 위조된 클라이언트 데이터를 통한 토큰 노출(CVE-2026-7571), 계정 리소스 조회를 통한 개인정보 열거(CVE-2026-37981) 등이 포함됩니다. 이론적 위협이 아니라 실제 운영 환경에서 악용 가능한 수준입니다. 변경 관리 프로세스가 있더라도 긴급 패치로 처리해야 합니다.

  • securityFreeMarker RCE 취약점 — 업그레이드 전 커스텀 로그인 테마 점검 필수

    #47915 이슈로 추적된 취약점은 FreeMarker 템플릿에서 임의의 Java 객체를 인스턴스화하고 OS 명령을 실행할 수 있는 문제였습니다. 사용자 입력이 FTL 파일에 반영되는 커스텀 로그인 테마를 운영 중이라면 지금 바로 감사하세요. 수정 후에는 FTL 내 JS 블록에 새로운 이스케이프 처리가 적용되므로, 특히 frontchannel-logout.ftl을 포함한 커스텀 테마가 업그레이드 후에도 정상 동작하는지 반드시 테스트해야 합니다.

  • securityWebAuthn AAGUID 정책 우회 — 기존 등록 자격증명 재검토 필요

    CVE-2026-6856으로 인해 WebAuthn 등록 시 Packed Self-Attestation을 통해 AAGUID 허용 목록 정책을 우회할 수 있었습니다. 규제 환경에서 특정 FIDO2 보안 키만 허용하도록 AAGUID 제한을 설정한 경우, 정책에 위반되는 자격증명이 이미 등록되어 있을 가능성이 있습니다. 업그레이드 후 최근 등록된 WebAuthn 자격증명을 검토하고, 하드웨어 증명이 컴플라이언스 요구사항이라면 재등록을 요구하는 방안을 검토하세요.

주요 변경 (5)
  • 계정 탈취로 이어지는 OIDC 세션 고정(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 액세스 토큰 노출(CVE-2026-7571), 조직 템플릿 Stored XSS(CVE-2026-37980) 등 16개 CVE 패치
  • Packed Self-Attestation을 통한 WebAuthn AAGUID 정책 우회 수정 — 이전까지는 하드웨어 인증기 정책 집행이 불완전했음
  • OIDC 인트로스펙션 엔드포인트에 audience 제한 적용 — 경량 액세스 토큰의 클레임 누출 차단
  • FreeMarker 템플릿에서 Java 객체 인스턴스화 및 OS 명령 실행 가능했던 RCE급 취약점 수정
  • 26.7 스키마 변경 시에도 JDBC_PING이 깨지지 않도록 개선하여 롤링 업그레이드 안정성 향상
원문

Keycloak

Security2026년 4월 15일

26.6.1은 블라인드 SSRF와 사용자 열거 CVE 두 건을 수정한 보안 패치입니다. 26.6.0 업그레이드 시 커스텀 인증 플로우가 깨지던 치명적 마이그레이션 버그도 함께 수정됐습니다.

  • securitySSRF·사용자 열거 CVE 즉시 패치 필요

    CVE-2026-4366은 HTTP 리다이렉트 처리 과정의 블라인드 SSRF로, Keycloak이 내부 서비스에 접근 가능한 환경이라면 실질적인 위협입니다. CVE-2026-4633은 identity-first 로그인에서 사용자 존재 여부가 노출되어 크리덴셜 스터핑 공격에 악용될 수 있습니다. 즉시 26.6.1로 업그레이드하세요. 업그레이드가 당장 불가하다면 CVE-2026-4633 임시 완화책으로 identity-first 로그인 비활성화를 검토하세요.

  • breaking26.6.0으로 업그레이드했다면 커스텀 인증 플로우 즉시 확인

    26.6.0의 MigrateTo26_6_0 스크립트가 커스텀 브라우저 플로우를 잘못 수정해 릴름 인증을 조용히 망가뜨리는 버그가 있었습니다. 26.6.0 업그레이드 후 로그인 오류나 비정상 플로우 동작을 겪었다면 이 버그가 원인입니다. 26.6.1로 업그레이드하면 마이그레이션 로직은 수정되지만, 이미 손상된 플로우는 수동으로 복구해야 할 수 있습니다. 운영 환경 업그레이드 전 반드시 커스텀 인증 플로우를 점검하세요.

  • breaking26.6.0 JS·Java 어드민 클라이언트 패키지 오류 — 26.6.1로 교체 필요

    26.6.0에서 @keycloak/keycloak-admin-client(JS)와 Java 어드민 클라이언트 모두 패키징 오류로 설치 또는 동기화가 불가능했습니다. 파이프라인이나 애플리케이션에서 26.6.0을 핀닝하고 있다면 현재 동작하지 않을 가능성이 높습니다. 의존성 버전을 26.6.1로 업데이트하세요.

주요 변경 (5)
  • CVE-2026-4366: HTTP 리다이렉트 처리 경로의 블라인드 SSRF 취약점 수정
  • CVE-2026-4633: identity-first 로그인 방식에서 사용자 이름 존재 여부가 노출되던 문제 수정
  • 26.6.0 마이그레이션 스크립트가 커스텀 브라우저 인증 플로우를 손상시키던 버그 수정
  • kc_idp_hint 사용 중 IdP가 access_denied 반환 시 무한 리다이렉트 루프 발생하던 문제 해결
  • DB 저장 데이터 암호화 지원 추가 및 CloudNativePG 1.29 업데이트
원문

Keycloak

Security2026년 4월 8일

Keycloak 26.6.0은 JWT Authorization Grant, Federated Client Auth, Workflows, 무중단 패치 릴리스를 정식 지원으로 격상하면서, UMA·SCIM·Organizations 관련 보안 버그 다수를 수정했습니다.

  • securitySCIM·UMA 보안 취약점 즉시 패치 필요

    SCIM에서 IDOR 방식의 리소스 수정 및 그룹 관리 권한 우회가 가능했던 두 가지 버그가 수정됐습니다. UMA 권한 부여는 만료된 ID 토큰이나 다른 클라이언트용 토큰을 수락하는 문제도 함께 고쳐졌습니다. SCIM이나 UMA를 사용 중이라면 즉시 26.6.0으로 업그레이드하세요. 별도 설정 변경은 불필요하지만, 사용 중인 SCIM 플러그인/익스텐션이 새 유효성 검사와 호환되는지 확인하세요.

  • breaking$ 문자 포함 시크릿은 KCRAW_ 프리픽스로 전환해야 함

    시크릿 매니저 등에서 $ 문자가 포함된 패스워드를 환경변수로 주입할 경우, KC_ 프리픽스는 SmallRye 표현식 평가로 값을 묵시적으로 변조합니다. KC_<KEY> 대신 KCRAW_<KEY>를 사용하면 값이 그대로 유지됩니다. 업그레이드 전에 기존 환경변수를 전수 점검하세요. ${ 또는 $$ 패턴이 포함된 시크릿은 이전 버전에서 이미 깨져 있을 수 있습니다.

  • enhancementOperator 배포에서 무중단 롤링 업데이트 활성화

    무중단 패치 릴리스가 기본 활성화됐습니다. Operator로 Keycloak을 운영 중이라면 업데이트 전략을 명시적으로 Auto로 설정하세요. 아울러 새로 도입된 HTTP Graceful Shutdown 기본값(지연 1초, 타임아웃 1초)을 검토하고, 리버스 프록시의 연결 드레이닝이 더 길게 걸리는 환경(특히 비-Kubernetes 환경이나 장기 연결 사용 구성)에서는 해당 값을 늘려 설정하세요.

주요 변경 (7)
  • JWT Authorization Grant(RFC 7523)와 Federated Client Authentication 정식 지원 — 클라이언트별 시크릿 관리 없이 외부→내부 토큰 교환 가능
  • 무중단 패치 릴리스 기본 활성화 — Operator 사용 시 업데이트 전략을 Auto로 설정해야 효과 적용
  • KCRAW_ 환경변수 프리픽스 도입 — $ 문자 포함 패스워드의 SmallRye 표현식 평가로 인한 묵시적 변조 문제 해결
  • UMA 권한 부여가 만료된 ID 토큰 및 다른 클라이언트 발행 토큰을 거부하도록 수정 (#46716, #46717)
  • SCIM IDOR 버그 수정 — PUT 엔드포인트의 body ID 재정의 공격 및 그룹 관리 권한 우회 패치 (#46658, #47536)
  • OTP와 비밀번호 브루트포스 보호를 기본적으로 분리해 OTP 우회 공격 차단 (#46164)
  • Keycloak 및 KeycloakRealmImport CRD가 v2beta1로 승격
원문

Keycloak

Security2026년 4월 2일

26.5.7은 권한 상승, 리다이렉트 URI 우회, 비인가 교차 사용자 권한 부여 등 7개 CVE를 수정한 긴급 보안 릴리스입니다. 즉시 업그레이드하십시오.

  • security즉시 패치 — 복수의 고위험 CVE 포함

    이번 릴리스에서 7개의 CVE가 수정됩니다. 권한 상승(CVE-2026-4282), 리다이렉트 URI 우회(CVE-2026-3872), 교차 사용자 권한 인젝션(CVE-2026-4636), 비인증 DoS(CVE-2026-4634)까지 공격 범위가 넓습니다. 특히 UMA 정책을 쓰거나 Admin REST API를 외부에 노출하는 환경이라면 긴급 패치로 취급해야 합니다. 변경 관리 프로세스를 최대한 단축해 26.5.7로 업그레이드하십시오.

  • security업그레이드 후 Admin API 접근 권한과 UMA 정책 구성 감사 필요

    CVE-2025-14083(Admin API 정보 노출)과 CVE-2026-4636(UMA 교차 사용자 권한 부여)은 엔드포인트 접근 제어가 제대로 적용되지 않았음을 보여줍니다. 업그레이드 후 Admin REST API에 접근 가능한 클라이언트와 서비스 계정을 점검하고, UMA 리소스 및 정책 정의에서 비정상적인 권한 부여 내역이 없는지 확인하십시오. 패치만으로는 이미 잘못 구성된 접근 경로를 닫을 수 없습니다.

  • enhancementQuarkus 3.27.3 업그레이드 — 런타임 동작 변경 여부 확인 권장

    Quarkus 런타임 업그레이드로 CVE-2026-1002(vertx-core 정적 파일 핸들러 캐시 조작 DoS)도 함께 수정됩니다. 커스텀 테마를 사용하거나 Keycloak을 통해 정적 콘텐츠를 제공한다면, 업그레이드 후 자산이 정상적으로 로드되는지 확인하십시오. Quarkus 마이너 버전 업그레이드는 기본 설정이 바뀌는 경우가 있으므로 로그인 플로우 스모크 테스트를 한 번 돌려보는 것이 좋습니다.

주요 변경 (5)
  • CVE-2025-14083: Admin REST API 접근 제어 미흡으로 비인가 사용자에게 정보 노출
  • CVE-2026-4282: SingleUseObjectProvider 격리 결함으로 위조된 인증 코드 생성 가능 — 권한 상승 위험
  • CVE-2026-3872: OIDC 인증 엔드포인트에서 ..;/ 경로 순회로 리다이렉트 URI 검증 우회
  • CVE-2026-4636: UMA 정책 리소스 인젝션으로 비인가 교차 사용자 권한 부여 가능
  • CVE-2026-4634: 스코프 처리 로직을 악용한 애플리케이션 수준 DoS — 인증 없이도 트리거 가능
원문

Keycloak

Security2026년 3월 19일

Keycloak 26.5.6은 SSRF, 토큰 재사용, IDOR, 권한 상승 등 8개 CVE를 패치하는 긴급 보안 릴리스입니다. 즉시 업그레이드가 필요합니다.

  • security8개 CVE 패치 — 즉시 26.5.6으로 업그레이드

    SSRF, 토큰 재생, 권한 상승, IDOR, 다중 정보 노출 경로를 포함한 8개 CVE가 수정되었습니다. 특히 jwks_uri 경유 SSRF, manage-clients 권한 상승, 인증 세션 오염은 멀티테넌트 또는 외부 노출 환경에서 매우 위험합니다. 별도의 완화 방법은 없으며 업그레이드가 유일한 해결책입니다. 26.x 버전을 운영 중이라면 긴급 패치로 처리하세요.

  • securitymanage-clients 권한 부여 내역 및 동적 클라이언트 등록 설정 점검

    CVE-2026-3121(manage-clients 권한 상승)과 CVE-2026-1180(동적 클라이언트 등록의 jwks_uri SSRF)은 현재 권한 설정과 기능 활성화 여부를 함께 검토해야 합니다. 업그레이드 후 manage-clients를 보유한 사용자·서비스 계정을 감사하세요. OIDC 동적 클라이언트 등록을 사용하지 않는다면 렐름 단위에서 비활성화해 SSRF 공격면을 완전히 제거하세요.

  • breaking업그레이드 후 Operator DB 설정 및 다중 렐름 시작 동작 검증 필요

    26.5.0에서 도입된 Operator의 DB targetServerType=primary 미적용 문제(마스터-레플리카 페일오버 시 연결 검증 실패)와 26.5.4에서 발생한 O(N²) 시작 스캔 회귀가 모두 수정되었습니다. 해당 버그를 경험했다면 업그레이드 후 DB 페일오버 동작과 시작 시간을 반드시 확인하세요. 렐름이 많은 대규모 환경에서는 재시작 속도가 눈에 띄게 빨라질 겁니다.

주요 변경 (6)
  • CVE-2026-1180: OIDC 동적 클라이언트 등록의 jwks_uri를 통한 블라인드 SSRF — 내부 네트워크 탐색 가능
  • CVE-2026-1035: TOCTOU 경쟁 조건을 이용한 리프레시 토큰 재사용 우회 — 토큰 재생 공격 가능
  • CVE-2026-3121: manage-clients 권한을 통한 권한 상승 — 낮은 권한 사용자가 상위 권한 획득 가능
  • CVE-2025-14777: 렐름 클라이언트 생성/삭제 시 IDOR — 무단 클라이언트 조작 가능
  • 버그 수정: AUTH_SESSION_ID 쿠키 재사용으로 재인증 시 세션 오염 발생 — 심각한 데이터 격리 문제 해결
  • 버그 수정: 26.5.4에서 도입된 다수 렐름 환경의 O(N²) 시작 시간 회귀 수정
원문

Keycloak

Security2026년 3월 5일

Keycloak 26.5.5는 운영 환경에서 인증 우회와 무단 접근을 허용할 수 있는 4개의 SAML 브로커 취약점을 해결한 중요 보안 릴리스입니다.

  • securitySAML 사용자는 즉시 업그레이드 필요

    이 CVE들은 SAML 브로커 구성에 영향을 주며 인증 우회를 허용할 수 있습니다. SAML ID 제공자나 브로커 기능을 사용한다면 긴급 유지보수를 예약해 즉시 업그레이드하세요. 업그레이드 후 비활성화된 SAML 제공자들이 제대로 보안되었는지 검토하세요.

  • securitySAML 브로커 구성 감사 실시

    업그레이드 후 비활성화된 SAML ID 제공자가 실제로 비활성화되어 인증 요청을 처리할 수 없는지 확인하세요. IdP 시작 로그인 플로우를 점검하고 SAML 어설션의 암호화가 올바르게 작동하는지 검증하세요.

주요 변경 (4)
  • CVE-2026-3047 수정: 비활성화된 클라이언트가 IdP 시작 로그인을 완료할 때 발생하는 SAML 브로커 인증 우회
  • CVE-2026-3009 해결: 브로커 서비스에서 비활성화된 ID 제공자의 부적절한 강제 실행
  • CVE-2026-2603 패치: 비활성화된 SAML IdP가 잘못되게 IdP 시작 로그인을 허용하는 문제
  • CVE-2026-2092 보안 강화: SAML 브로커 암호화된 어설션 주입 취약점
원문

Keycloak

Security2026년 2월 20일

Keycloak 26.5.4는 SAML 취약점과 권한 부여 우회 문제를 포함한 5개의 CVE를 해결하는 중요한 보안 패치 릴리스입니다. 성능 개선과 클러스터 안정성 수정 사항을 포함합니다.

  • security다중 CVE로 인한 즉시 업그레이드 필요

    이 릴리스는 권한 부여 우회와 DoS 취약점을 포함한 5개의 CVE를 수정합니다. SAML 구성과 Docker 레지스트리 프로토콜 사용을 검토하세요. 특히 SAML 브로커링이나 Docker 레지스트리 통합을 사용하는 경우 다음 유지보수 기간에 즉시 업그레이드를 예약하세요.

  • security구성에서 클라이언트 시크릿 노출 확인

    CVE 수정으로 인증되지 않은 엔드포인트에서의 클라이언트 시크릿 공개 문제가 해결되었습니다. 업그레이드 후 클라이언트 구성을 감사하고 잠재적으로 노출된 시크릿을 교체하세요. 무단 구성 엔드포인트 접근에 대한 액세스 로그를 검토하세요.

  • enhancement업그레이드 후 클러스터 성능 최적화

    새로운 세션 ID 키 선호도와 개선된 캐싱으로 클러스터 배포에서 성능이 향상됩니다. 업그레이드 후 로그인 페이지 응답 시간과 클러스터 안정성을 모니터링하세요. 데이터베이스 쿼리 감소와 더 나은 로드 분산을 확인할 수 있습니다.

주요 변경 (5)
  • SAML 응답 지연, 권한 부여 헤더 파싱 우회, DoS 취약점을 포함한 5개의 중요한 CVE 수정
  • 인증되지 않은 구성 엔드포인트에서의 클라이언트 시크릿 정보 공개 해결
  • 향상된 로드 밸런싱을 위한 세션 ID 키 선호도 메커니즘 개선
  • jdbc-ping을 사용하는 3개 이상 노드 구성에서 클러스터 재결합 문제 해결
  • 로그인 페이지 로드 시 데이터베이스 쿼리 캐싱 성능 개선
원문