漏洞总结 漏洞概述 漏洞名称: CVE-2026-9087 - CVE-2026-9087 keycloak: Cross-Session Email Verification Proof Not Bound to Upstream Identity in First-Broker-Login 漏洞描述: 在Keycloak中,跨会话电子邮件验证证明仅由 和 键控,并未绑定到实际验证的上游身份。因此,同一IP地址上的第二个上游账户可以消耗该证明并将其链接到受害者的本地账户。 影响范围 产品: Security Response 组件: vulnerability 版本: unspecified 硬件: All 操作系统: Linux 优先级: medium 严重程度: medium 修复方案 修复版本: 未指定 克隆自: 未指定 环境: 未指定 最后关闭: 未指定 Embargoed: 未指定 附加信息 报告日期: 2026-05-20 14:55 UTC by OSIDB Bzimport 修改日期: 2026-05-20 14:57 UTC (History) CC列表: 10 users (show) 目标里程碑: --- 分配给: Product Security DevOps Team QA联系人: 未指定 文档联系人: 未指定 URL: 未指定 白名单: 未指定 依赖项: 未指定 阻塞项: 未指定 TreeView: 取决于 / 阻塞 附件 附件链接: Terms of Use 评论 评论者: OSIDB Bzimport 评论日期: 2026-05-20 14:55:23 UTC 评论内容: 其他 登录要求: 需要登录才能评论或对此bug进行更改。