漏洞概述 漏洞编号: Bug 2459993 (CVE-2026-11577) 漏洞名称: keycloak: privilege escalation via partialImport FGAP permission bypass 描述: 在Keycloak中,通过 端点可以绕过细粒度管理员权限(FGAP)。该端点仅检查 ,但不检查资源类型权限。一个有限的管理员,仅具有 权限,可以通过导入具有 角色映射的用户来升级到完整的realm管理员。已在Keycloak 26.5.1上验证。 相关GitHub Issue: #9387 描述为加固,但这是一个可利用的权限提升漏洞。 影响范围 产品: Security Response 组件: vulnerability 硬件: All 操作系统: Linux 优先级: high 严重性: high 目标里程碑: ... 分配给: Product Security 报告日期: 2026-04-21 07:35 UTC by OSIDB Bzimport 修改日期: 2026-06-08 11:41 UTC (History) CC列表: 29 users (show) 修复版本: ... 克隆自: ... 环境: ... 最后关闭: ... Embargoed: ... 修复方案 修复版本: 未指定 修复状态: 未关闭 POC代码或利用代码 无POC代码或利用代码 其他信息 Keywords: Security 状态: NEW 别名: CVE-2026-11577 截止日期: 2026-07-18 版本: unspecified QA联系人: ... 文档联系人: ... URL: ... 白板: ... 依赖项: ... 阻塞项: ... 树视图: depends on / blocked 附件 无附件 备注 备注: 您需要登录才能在此bug上发表评论或进行更改。 页脚 隐私