Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Red Hat (CVE-2026-2575)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/03/2026
Última modificación:
03/06/2026

Descripción

Se encontró una falla en Keycloak. Un atacante remoto no autenticado puede desencadenar una denegación de servicio (DoS) a nivel de aplicación al enviar una SAMLRequest altamente comprimida a través del SAML Redirect Binding. El servidor no aplica límites de tamaño durante la descompresión DEFLATE, lo que lleva a un OutOfMemoryError (OOM) y la subsiguiente terminación del proceso. Esta vulnerabilidad permite a un atacante interrumpir la disponibilidad del servicio.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:redhat:build_of_keycloak:*:*:*:*:*:*:*:* 26.4 (incluyendo) 26.4.10 (excluyendo)