漏洞概述 漏洞编号:Bug 2480170 (CVE-2026-9086) 漏洞名称:keycloak: Keycloak: Cross-site scripting (XSS) via case-insensitive URI validation bypass 报告日期:2026-05-20 14:45:45 UTC 修改日期:2026-06-25 15:59 UTC 状态:NEW 产品:Security Response 组件:vulnerability 优先级:high 严重程度:high 影响范围 操作系统:Linux 硬件:All 版本:unspecified 目标里程碑:--- 分配给:Product Security 修复方案 修复版本:未指定 关闭日期:未指定 环境:未指定 最后关闭:未指定 Embargoed:未指定 漏洞描述 描述:在Keycloak中发现了一个漏洞。具有管理权限(特别是“manage-client”权限或访问客户端注册端点)的远程攻击者,可以通过注册一个带有特殊构造的重定向URI的恶意客户端,绕过客户端统一资源标识符(URI)验证。这可以通过使用不区分大小写的 或 方案来实现。此跨站脚本(XSS)漏洞允许在Keycloak原点中执行任意代码,当受害者点击构造的链接时(如在注销流程或Admin Console中)。 附加信息 附件:无 评论:需要登录才能在此漏洞上进行评论或做出更改。 总结 该漏洞是一个跨站脚本(XSS)漏洞,通过不区分大小写的URI验证绕过实现。攻击者可以利用此漏洞在Keycloak原点中执行任意代码,影响具有管理权限的用户。目前尚未提供具体的修复版本和关闭日期。