漏洞概述 漏洞编号: Bug 2482458 (CVE-2026-9791) 漏洞描述: 当 设置为 时,Keycloak 在管理员路径上正确阻止了组织 API(返回 404),但在用户可见的路径上未能强制执行禁用状态。具体来说,账户 API ( ) 继续返回组织成员数据,并且带有 的 OIDC 令牌请求仍然包含组织声明。这允许组织元数据泄露给资源服务器,即使管理员已明确禁用了组织功能。 影响范围 受影响组件: 受影响版本: 支持组织功能的版本(具体版本未说明) CVSS 评分: 3.1 (AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N) - 中等风险 利用条件: - 攻击者必须是具有现有组织成员资格的已认证用户。 - 域必须之前启用了组织功能,然后由管理员禁用。 - 客户端必须配置为允许组织范围。 - 漏洞适用于客户端凭证和资源所有者密码授予类型,以及账户 API。 修复方案 补丁可用性: 无 修复建议: 目前尚无官方补丁,建议管理员注意此问题并采取措施减少潜在风险。 复现步骤 1. 在域上启用组织功能,并为组织创建成员。 2. 作为管理员,通过设置 在域上禁用组织功能。 3. 作为已认证用户,发送 请求。观察到尽管功能被禁用,组织成员数据仍被返回(200 OK)。 4. 使用 或 授予类型,请求带有 的令牌。观察到发出的令牌包含组织声明。 5. 依赖组织声明的资源服务器将继续应用基于组织的授权,即使管理员已禁用该功能。 其他信息 报告者: OSIDB Bzimport 报告时间: 2026-05-28 03:06:56 UTC 修改时间: 2026-05-28 03:38:16 UTC 状态: NEW 优先级: medium 严重性: medium 目标团队: Product Security DevOps Team QA 联系人: --- 文档联系人: --- URL: --- 白板: --- 依赖项: --- 阻塞项: --- 树视图: 取决于 / 阻塞 致谢 名称: Evan Hendra 隶属: Independent Security Researcher 邮箱: evanhendra48 备注 需要登录才能评论或对此漏洞进行更改。 --- 总结完毕