漏洞概述 漏洞编号:CVE-2026-9088 漏洞名称:Keycloak: Information disclosure due to user profile permission bypass 状态:NEW 报告时间:2026-05-20 15:02 UTC by OSIDB Bzreport 修改时间:2026-06-05 07:46 UTC (History) CC列表:11 users (show) 修复版本:未指定 克隆版本:未指定 环境:未指定 最后关闭:未指定 Embargoed:未指定 影响范围 产品:Security Response 组件:vulnerability 版本:未指定 硬件:All 操作系统:Linux 优先级:low 严重性:low 目标里程碑:未指定 分配给:Product Security DevOps Team QA联系人:未指定 文档联系人:未指定 URL:未指定 白名单:未指定 依赖项:未指定 阻塞项:未指定 TreeView:取决于 / 阻塞 修复方案 描述:在org.keycloak.services中发现了漏洞。具有读取组成员资格和用户权限的管理员可以通过访问组成员端点绕过用户配置文件权限。这允许管理员查看明确配置为被拒绝的用户属性,导致信息泄露。 POC代码或利用代码 页面中未包含POC代码或利用代码。 其他信息 附件:无 备注:需要登录才能评论或更改此漏洞。 总结 该漏洞涉及Keycloak中的用户配置文件权限绕过,导致信息泄露。影响范围为所有硬件和Linux操作系统,优先级和严重性均为低。目前尚未指定修复版本和克隆版本。