CVE-2026-9800CVE-2026-9800是Red Hat Keycloak Policy Enforcer组件中存在的一个高危授权绕过漏洞,CVSS评分为8.1分。该漏洞由Red Hat安全团队([email protected])发现并报告,于2026年6月25日公开披露。Keycloak作为一款广泛使用的开源身份和访问管理(IAM)解决方案,其Policy Enforcer组件负责对受保护资源执行授权策略检查,包括基于角色(Role-Based Access Control)、作用域(Scope)以及用户管理访问(UMA)权限的验证。然而,该漏洞允许任何已通过身份认证的用户绕过所有授权策略检查,从而获取对受保护资源的未授权访问。该漏洞的利用条件相对简单,仅需要有效的用户凭证即可发起攻击,无需特殊权限或用户交互。由于Keycloak被大量企业用于保护API资源和微服务,此漏洞的影响范围广泛,可能导致敏感数据泄露和未授权操作。攻击者可以通过在请求URL中包含配置的访问拒绝页面路径(access-denied page path)作为路径段或查询参数来触发该漏洞,绕过Policy Enforcer的正常授权检查流程。此漏洞对机密性和完整性均产生高影响,对可用性无影响,攻击者可在不被检测的情况下访问受保护的资源。
Keycloak Policy Enforcer的核心功能是在请求到达受保护资源之前拦截请求并执行授权策略验证。正常流程下,当用户请求受保护资源时,Policy Enforcer会检查用户的角色、权限范围以及UMA权限策略,决定是否允许访问。漏洞的根本原因在于Policy Enforcer对请求URL的路径处理逻辑存在缺陷。当请求URL中包含已配置的访问拒绝页面路径(access-denied path)作为路径段或查询参数时,Policy Enforcer会错误地认为该请求是访问拒绝页面的请求,从而跳过了对实际受保护资源的授权检查流程。具体而言,攻击者构造一个包含access-denied路径的恶意URL,例如将正常的受保护资源路径与access-denied路径进行拼接或作为参数附加,Policy Enforcer在解析URL时优先匹配到access-denied模式,导致授权检查被完全绕过。这种路径混淆攻击利用了Policy Enforcer在URL路由匹配和授权决策之间的逻辑缺陷。由于该漏洞需要低权限认证(PR:L),攻击者只需拥有任何有效的Keycloak用户凭证即可利用,无需管理员权限。攻击通过网络(AV:N)发起,攻击复杂度低(AC:L),无需用户交互(UI:N),成功利用后对机密性(C:H)和完整性(I:H)产生高影响。