Keycloakは2026年3月5日、26.5.5を公開しました。今回のリリースは通常の不具合修正というより、セキュリティ修正が中心のアップデートです。公式リリースでは、26.5.5で4件のセキュリティ修正が行われたと案内しており、アップグレード前には移行ガイドを確認するよう求めています。
脆弱性の概要
最もスコアが高いのはCVE-2026-3047で、CVSS v3.1は8.8です。
内容は、無効化したSAMLクライアントがIdP起点のブローカー着地点として設定されている場合でも、ログイン処理を完了し、SSOセッションを確立できてしまう認証バイパスです。結果として、リモート攻撃者が再認証なしで他の有効なクライアントへ不正アクセスできる可能性があるとされています。
CVE-2026-3009とCVE-2026-2603はいずれもCVSS v3.1 8.1で、無効化済みのIdentity ProviderやSAML IdPを使ったログインが成立してしまう類型です。
管理者が停止したはずのIdPを経由して認証できる状態は、運用上の封じ込め前提を崩すため、SAML連携を止めたつもりの環境ほど危険度が高いと言えます。CVE-2026-3009は、無効化されたIdPでもIdentityBrokerService.performLogin経由で認証が進んでしまう問題です。CVE-2026-2603は、無効化したSAML IdPでもIdP起点のブローカーログインが通る問題として公開されています。
CVE-2026-2092はCVSS v3.1 7.7で、encrypted SAML assertion injectionに関する問題です。Keycloak側の説明では詳細は短いですが、関連公開情報では、暗号化されたSAMLアサーションの検証不備により、任意の主体になりすます形の不正アクセスにつながる問題として整理されていま








