JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-009816 Keycloakに欠陥が発見されました。User-Managed Access (UMA) 2.0保護APIのパーミッションチケットエンドポイントは`uma_protection`ロールのチェックを実施しません。このため、`uma_protection`ロールを持たないリソースサーバークライアント向けのトークンを所持する認証済みユーザーでも、システム内のすべてのパーミッションチケットを列挙することが可能です。この脆弱性は部分的に情報漏えいを引き起こします。 cpe:/a:redhat:build_of_keycloak https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-009816.html Common Vulnerabilities and Exposures (CVE) CVE-2026-3190 https://www.cve.org/CVERecord?id=CVE-2026-3190 National Vulnerability Database (NVD) CVE-2026-3190 https://nvd.nist.gov/vuln/detail/CVE-2026-3190 Red Hat Customer Portal CVE-2026-3190 - Red Hat Customer Portal https://access.redhat.com/security/cve/CVE-2026-3190 JVNDB CWE-280 https://cwe.mitre.org/data/definitions/280.html Red Hat Bugzilla 2442572 (CVE-2026-3190) CVE-2026-3190 keycloak: Keycloak: Information Disclosure via improper role enforcement in UMA 2.0 Protection API https://bugzilla.redhat.com/show_bug.cgi?id=2442572 2026-04-03T11:16:52+09:00 2026-04-03T11:16:52+09:00