Vulnerabilities ›

CVE-2026-9087

Medium

CWE-639 — Weakness Type

                    Published: May 20, 2026                      ·  Modified: May 23, 2026                      ·  Source: NVD                

CVSS v3

6.4

🔗 NVD Official

📄 Description (English)

A flaw was found in Keycloak. The cross-session verification proof is keyed only by (local userId,
idpAlias) and is not bound to the upstream identity that was actually verified, so a second upstream account on the same IdP can consume it and get linked to the victim's local account.

🤖 AI Executive Summary

Keycloak's cross-session verification proof lacks proper binding to upstream identity, allowing attackers to link a second upstream account to a victim's local account. This account linking vulnerability affects identity federation scenarios where multiple upstream accounts exist on the same identity provider.

📄 Description (Arabic)

تم اكتشاف خلل في Keycloak حيث أن إثبات التحقق من الجلسات المتقاطعة يعتمد فقط على معرف المستخدم المحلي واسم مزود الهوية، دون ربطه بهوية المصدر الفعلية التي تم التحقق منها. يسمح هذا للمهاجمين باستخدام حساب مصدر ثاني على نفس مزود الهوية لاستهلاك الإثبات وربط حسابهم بحساب الضحية المحلي.

🤖 ملخص تنفيذي (AI)

🤖 AI Intelligence Analysis Analyzed: May 21, 2026 13:37

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government telecom healthcare

🎯 MITRE ATT&CK Techniques

T1556 T1078 T1556.004

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update Keycloak to the latest patched version that implements proper upstream identity binding in cross-session verification proofs. Implement additional verification checks to ensure the verified upstream identity matches the account being linked. Review and audit existing account linking operations for unauthorized links.

🔧 خطوات المعالجة (العربية)

قم بتحديث Keycloak إلى أحدث إصدار مصحح يطبق ربط هوية المصدر بشكل صحيح في إثباتات التحقق من الجلسات المتقاطعة. قم بتنفيذ فحوصات تحقق إضافية للتأكد من أن هوية المصدر المتحقق منها تطابق الحساب الذي يتم ربطه. راجع وتدقيق عمليات ربط الحسابات الموجودة للبحث عن روابط غير مصرح بها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 IA-2 IA-4

🟡 ISO 27001:2022

A.9.2.1 A.9.2.2 A.9.2.5 A.9.4.3

🔗 References & Sources 2

🔗

https://access.redhat.com/security/cve/CVE-2026-9087

secalert@redhat.com

🔗

https://bugzilla.redhat.com/show_bug.cgi?id=2480172

secalert@redhat.com

📊 CVSS Score

6.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.4

CWECWE-639

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-20

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-639

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-9087

💬 Comments

Introduce Yourself

Sign In Required