レッドハットのbuild of keycloak等の複数製品における不適切な権限設定に関する脆弱性

JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-009817 レッドハットのbuild of keycloak等の複数製品における不適切な権限設定に関する脆弱性 Keycloakに脆弱性が発見されました。`manage-clients`権限を持つ管理者は、この権限が`manage-permissions`と同等であるという誤った設定を悪用できます。これにより、管理者は権限を昇格させて、リルム内のロール、ユーザー、その他の管理機能を制御できます。この権限昇格は、リルムレベルで管理者権限が有効になっている場合に発生します。 cpe:/a:redhat:build_of_keycloak cpe:/a:redhat:jboss_enterprise_application_platform cpe:/a:redhat:jboss_enterprise_application_platform_expansion_pack cpe:/a:redhat:single_sign-on https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-009817.html Common Vulnerabilities and Exposures (CVE) CVE-2026-3121 https://www.cve.org/CVERecord?id=CVE-2026-3121 National Vulnerability Database (NVD) CVE-2026-3121 https://nvd.nist.gov/vuln/detail/CVE-2026-3121 Red Hat Customer Portal CVE-2026-3121 - Red Hat Customer Portal https://access.redhat.com/security/cve/CVE-2026-3121 JVNDB CWE-266 不適切な権限設定 https://cwe.mitre.org/data/definitions/266.html Red Hat Bugzilla 2442277 (CVE-2026-3121) CVE-2026-3121 keycloak: org.keycloak/keycloak-services: Keycloak: Privilege escalation via manage-clients permission https://bugzilla.redhat.com/show_bug.cgi?id=2442277 2026-04-03T11:16:55+09:00 2026-04-03T11:16:55+09:00