Retour au blog
KeycloakIAMCVE

Keycloak et CVE-2026-1180 : pourquoi le dynamic client registration merite une vraie revue

Publié le 2026-04-116 min de lectureCleanIssue

> En bref : Keycloak a corrigé en mars 2026 une SSRF aveugle via jwks_uri dans l enregistrement dynamique des clients OIDC. Voici pourquoi CVE-2026-1180 est...

Une faille IAM recente et tres instructive

En mars 2026, le projet Keycloak a publie la release 26.5.6 avec plusieurs correctifs de securite. Parmi eux, CVE-2026-1180 est decrite comme une SSRF aveugle dans l enregistrement dynamique des clients OIDC via jwks_uri.

Pourquoi c est un sujet important

Quand une faille touche un fournisseur d identite, le risque ne se limite pas a une URL mal filtree. Un composant IAM tient des flux d authentification, des clients, des tokens et souvent des federations. Une SSRF a cet endroit peut devenir un outil d exploration interne tres utile pour un attaquant.

Ce que cela dit du risque IAM

Les equipes pensent souvent a juste titre a la robustesse crypto et aux permissions. Mais les fonctions de federation, d enregistrement dynamique et de resolution distante meritent le meme niveau d attention.

La lecon pour 2026

Sur Keycloak, il faut suivre tres regulierement les patch releases. Le projet enchaine les corrections de securite sur 2026, et cela montre qu un IAM moderne bouge vite. Les fonctions OIDC les plus souples sont aussi celles qui demandent le plus de garde-fous.

Notre lecture

CVE-2026-1180 est un bon exemple de faille moderne d IAM : pas forcement spectaculaire dans sa forme brute, mais tres utile pour un attaquant dans une architecture federée. Sur ce type de pile, la moindre ouverture reseau ou logique prend tout de suite une valeur strategique.

À retenir

  • Les CV parsés contiennent des données personnelles sensibles — appliquez une rétention limitée et un accès restreint.
  • Vérifiez que le service de parsing IA ne stocke pas les documents en clair sur ses serveurs.
  • Anonymisez les données candidats dès la fin du processus de recrutement pour limiter l'exposition.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit