Vulnerabilities ›

CVE-2026-9802

Medium

CWE-613 — Weakness Type

                    Published: May 28, 2026                      ·  Modified: May 31, 2026                      ·  Source: NVD                

CVSS v3

6.8

🔗 NVD Official

📄 Description (English)

A flaw was found in Keycloak. When revokeRefreshToken=true is enabled and persistent session storage is in use, a server restart can reset internal timing mechanisms. This allows a remote attacker, who has previously captured a user's refresh token, to replay that token even after it has been revoked. Successful exploitation grants the attacker unauthorized access to the victim's account, potentially leading to information disclosure or privilege escalation.

🤖 AI Executive Summary

Keycloak vulnerability allows replay of revoked refresh tokens after server restart when persistent session storage is enabled. Attackers with captured tokens can gain unauthorized account access despite revocation, risking information disclosure and privilege escalation.

📄 Description (Arabic)

تؤثر هذه الثغرة على Keycloak عند تفعيل خيار revokeRefreshToken مع استخدام تخزين الجلسات الدائم. عند إعادة تشغيل الخادم، تُعاد تعيين آليات التوقيت الداخلية مما يسمح بإعادة تشغيل الرموز الملغاة. يمكن للمهاجمين الذين يمتلكون رموز محفوظة مسبقاً استخدامها للوصول غير المصرح به.

🤖 ملخص تنفيذي (AI)

ثغرة في Keycloak تسمح بإعادة تشغيل رموز التحديث الملغاة بعد إعادة تشغيل الخادم عند تفعيل تخزين الجلسات الدائم. يمكن للمهاجمين الذين لديهم رموز مأسورة الوصول غير المصرح به للحسابات رغم الإلغاء.

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 08:27

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government healthcare telecom

🎯 MITRE ATT&CK Techniques

T1110.001 T1528 T1556

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Keycloak to the latest patched version immediately. Disable persistent session storage if not critical for operations, or implement additional token validation mechanisms. Monitor for suspicious token usage patterns and implement rate limiting on token refresh endpoints. Review access logs for unauthorized token replays.

🔧 خطوات المعالجة (العربية)

قم بترقية Keycloak إلى أحدث إصدار مصحح فوراً. عطّل تخزين الجلسات الدائم إذا لم يكن حرجاً للعمليات، أو طبّق آليات التحقق من الرموز الإضافية. راقب أنماط استخدام الرموز المريبة وطبّق تحديد معدل على نقاط نهاية تحديث الرموز. راجع سجلات الوصول للتحقق من إعادة تشغيل الرموز غير المصرح بها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AC-3 AC-6 AU-2 AU-12

🟡 ISO 27001:2022

A.9.2.1 A.9.2.2 A.9.2.4 A.9.2.5 A.9.4.3

🔗 References & Sources 2

🔗

https://access.redhat.com/security/cve/CVE-2026-9802

secalert@redhat.com

🔗

https://bugzilla.redhat.com/show_bug.cgi?id=2482467

secalert@redhat.com

📊 CVSS Score

6.8

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.8

CWECWE-613

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-05-28

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-613

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-9802

Introduce Yourself

Sign In Required