Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 29 juin 2026 N° CERTFR-2026-AVI-0815 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans KeyCloak Gestion du document Référence CERTFR-2026-AVI-0815 Titre Multiples vulnérabilités dans KeyCloak Date de la première version29 juin 2026 Date de la dernière version29 juin 2026 Source(s) Bulletin de sécurité KeyCloak GHSA-2qxf-v3g6-73v9 du 26 juin 2026Bulletin de sécurité KeyCloak GHSA-32h4-44jj-c5vx du 26 juin 2026Bulletin de sécurité KeyCloak GHSA-9jrw-8xf7-xqhq du 26 juin 2026Bulletin de sécurité KeyCloak GHSA-f5p5-6xmx-p252 du 26 juin 2026Bulletin de sécurité KeyCloak GHSA-j97h-3f8r-mrjr du 26 juin 2026Bulletin de sécurité KeyCloak GHSA-r7rc-c989-86g6 du 26 juin 2026Bulletin de sécurité KeyCloak GHSA-v3f7-2p4r-mwfw du 26 juin 2026Bulletin de sécurité KeyCloak GHSA-w3p3-7cjg-vgfw du 26 juin 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Contournement de la politique de sécurité Exécution de code arbitraire à distance Injection de code indirecte à distance (XSS) Élévation de privilèges Systèmes affectés Keycloak versions 26.0.x antérieures à 26.0.10 Keycloak versions 26.6.x antérieures à 26.6.4 Résumé De multiples vulnérabilités ont été découvertes dans KeyCloak. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données.
Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité KeyCloak GHSA-2qxf-v3g6-73v9 du 26 juin 2026 https://github.com/keycloak/keycloak/security/advisories/GHSA-2qxf-v3g6-73v9 Bulletin de sécurité KeyCloak GHSA-32h4-44jj-c5vx du 26 juin 2026 https://github.com/keycloak/keycloak/security/advisories/GHSA-32h4-44jj-c5vx Bulletin de sécurité KeyCloak GHSA-9jrw-8xf7-xqhq du 26 juin 2026 https://github.com/keycloak/keycloak/security/advisories/GHSA-9jrw-8xf7-xqhq Bulletin de sécurité KeyCloak GHSA-f5p5-6xmx-p252 du 26 juin 2026 https://github.com/keycloak/keycloak/security/advisories/GHSA-f5p5-6xmx-p252 Bulletin de sécurité KeyCloak GHSA-j97h-3f8r-mrjr du 26 juin 2026 https://github.com/keycloak/keycloak/security/advisories/GHSA-j97h-3f8r-mrjr Bulletin de sécurité KeyCloak GHSA-r7rc-c989-86g6 du 26 juin 2026 https://github.com/keycloak/keycloak/security/advisories/GHSA-r7rc-c989-86g6 Bulletin de sécurité KeyCloak GHSA-v3f7-2p4r-mwfw du 26 juin 2026 https://github.com/keycloak/keycloak/security/advisories/GHSA-v3f7-2p4r-mwfw Bulletin de sécurité KeyCloak GHSA-w3p3-7cjg-vgfw du 26 juin 2026 https://github.com/keycloak/keycloak/security/advisories/GHSA-w3p3-7cjg-vgfw Référence CVE CVE-2026-11800 https://www.cve.org/CVERecord?id=CVE-2026-11800 Référence CVE CVE-2026-9083 https://www.cve.org/CVERecord?id=CVE-2026-9083 Référence CVE CVE-2026-9086 https://www.cve.org/CVERecord?id=CVE-2026-9086 Référence CVE CVE-2026-9099 https://www.cve.org/CVERecord?id=CVE-2026-9099 Référence CVE CVE-2026-9705 https://www.cve.org/CVERecord?id=CVE-2026-9705 Référence CVE CVE-2026-9795 https://www.cve.org/CVERecord?id=CVE-2026-9795 Référence CVE CVE-2026-9799 https://www.cve.org/CVERecord?id=CVE-2026-9799 Référence CVE CVE-2026-9800 https://www.cve.org/CVERecord?id=CVE-2026-9800 Gestion détaillée du document le 29 juin 2026 Version initiale