Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-9086

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/06/2026
Última modificación:
01/07/2026

Descripción

*** Pendiente de traducción *** A flaw was found in Keycloak. A remote attacker with administrative privileges, specifically those with `manage-client` permission or access to client registration endpoints, could bypass client Uniform Resource Identifier (URI) validation. This is achieved by registering a malicious client with a specially crafted redirect URI using a case-insensitive `javascript:` or `data:` scheme. This Cross-Site Scripting (XSS) vulnerability allows for arbitrary code execution in the Keycloak origin when a victim clicks the crafted link, such as in the logout flow or the Admin Console.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:redhat:build_of_keycloak:*:*:*:*:*:*:*:* 26.4 (incluyendo) 26.4.13 (excluyendo)
cpe:2.3:a:redhat:build_of_keycloak:*:*:*:*:*:*:*:* 26.6 (incluyendo) 26.6.4 (excluyendo)