الثغرات ›

CVE-2026-0871

متوسط

A flaw was found in Keycloak. An administrator with `manage-users` permission can bypass the "Only administrators can view" setting for unmanaged attributes, allowing them to modify these attributes.

CWE-266 — نوع الضعف

                    نُشر: Feb 27, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

4.9

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A flaw was found in Keycloak. An administrator with `manage-users` permission can bypass the "Only administrators can view" setting for unmanaged attributes, allowing them to modify these attributes. This improper access control can lead to unauthorized changes to user profiles, even when the system is configured to restrict such modifications.

🤖 ملخص AI

A Keycloak vulnerability allows administrators with manage-users permission to bypass restrictions on unmanaged attributes, enabling unauthorized user profile modifications. This improper access control flaw affects systems where attribute visibility is intended to be restricted to administrators only.

📄 الوصف (العربية)

تم اكتشاف خلل في نظام إدارة الهويات Keycloak يتعلق بالتحكم غير الصحيح بالوصول. يسمح الخلل لمسؤول لديه صلاحية إدارة المستخدمين بتجاوز إعدادات الحماية المتعلقة بالسمات غير المدارة وتعديلها. هذا يشكل مخاطر أمنية على سلامة بيانات المستخدمين والامتثال للسياسات الأمنية.

🤖 ملخص تنفيذي (AI)

ثغرة في Keycloak تسمح للمسؤولين الذين لديهم صلاحية manage-users بتجاوز القيود على السمات غير المدارة، مما يتيح تعديل ملفات المستخدمين بشكل غير مصرح. يؤثر هذا الخلل في التحكم بالوصول على الأنظمة التي يُقصد فيها تقييد رؤية السمات للمسؤولين فقط.

🤖 التحليل الذكي آخر تحليل: May 30, 2026 07:08

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government healthcare telecom

🎯 تقنيات MITRE ATT&CK

T1078.002 T1548.002 T1087.001

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update Keycloak to the latest patched version that addresses CVE-2026-0871. Review and audit administrator permissions, particularly manage-users roles. Implement principle of least privilege for administrative accounts. Monitor attribute modification logs for unauthorized changes. Verify access control configurations for unmanaged attributes are properly enforced.

🔧 خطوات المعالجة (العربية)

قم بتحديث Keycloak إلى أحدث إصدار مصحح يعالج CVE-2026-0871. راجع وتدقيق صلاحيات المسؤول خاصة أدوار manage-users. طبق مبدأ أقل صلاحية للحسابات الإدارية. راقب سجلات تعديل السمات للتغييرات غير المصرح بها. تحقق من أن إعدادات التحكم بالوصول للسمات غير المدارة مطبقة بشكل صحيح.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 المراجع والمصادر 4

🔗

https://access.redhat.com/errata/RHSA-2026:2365

secalert@redhat.com

🔗

https://access.redhat.com/errata/RHSA-2026:2366

secalert@redhat.com

🔗

https://access.redhat.com/security/cve/CVE-2026-0871

secalert@redhat.com

🔗

https://bugzilla.redhat.com/show_bug.cgi?id=2428881

secalert@redhat.com

📊 CVSS Score

4.9

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score4.9

CWECWE-266

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-02-27

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-266

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-0871

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب