CVE-2022-3916 [中] | Security Vulnerability（Keycloak）

A flaw was found in the offline_access scope in Keycloak. This issue would affect users of shared computers more (especially if cookies are not cleared), due to a lack of root session validation, and the reuse of session ids across root and user authentication sessions. This enables an attacker to resolve a user session attached to a previously authenticated user; when utilizing the refresh token, they will be issued a token for the original user.

#	日付	旧 EPSS スコア	新 EPSS スコア	Δ（新 − 旧）
1	2026-06-15	0.23%	0.95%	+0.73%
2	2025-11-21	0.54%	0.23%	-0.32%
3	2025-11-18	—	0.54%	—

日付

旧 EPSS スコア

新 EPSS スコア

Δ（新 − 旧）

2026-06-15

0.23%

0.95%

+0.73%

2025-11-21

0.54%

0.23%

-0.32%

2025-11-18

—

0.54%

—

ベーススコア	バージョン	深刻度	ベクトル	悪用しやすさ	影響	スコアの出典
6.8	3.1	MEDIUM	`CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:H) 到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。必要な権限 (PR:L) 一般ユーザー権限があれば足り、管理者（root 相当）は不要。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:H) 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。可用性への影響 (A:N) 業務継続に支障が出るレベルの停止や劣化は想定されない。	1.6	5.2	[email protected]
6.8	3.1	MEDIUM	`CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:H) 到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。必要な権限 (PR:L) 一般ユーザー権限があれば足り、管理者（root 相当）は不要。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:H) 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。可用性への影響 (A:N) 業務継続に支障が出るレベルの停止や劣化は想定されない。	1.6	5.2	[email protected]

ベーススコア

バージョン

深刻度

ベクトル

悪用しやすさ

影響

スコアの出典

6.8

3.1

MEDIUM

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N クリックして展開

攻撃ベクター (AV:N): インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:H): 到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。
必要な権限 (PR:L): 一般ユーザー権限があれば足り、管理者（root 相当）は不要。
ユーザーの関与 (UI:N): メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U): 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:H): 広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:H): 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。
可用性への影響 (A:N): 業務継続に支障が出るレベルの停止や劣化は想定されない。

1.6

5.2

[email protected]

6.8

3.1

MEDIUM

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N クリックして展開

攻撃ベクター (AV:N): インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:H): 到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。
必要な権限 (PR:L): 一般ユーザー権限があれば足り、管理者（root 相当）は不要。
ユーザーの関与 (UI:N): メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U): 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:H): 広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:H): 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。
可用性への影響 (A:N): 業務継続に支障が出るレベルの停止や劣化は想定されない。

1.6

5.2

[email protected]

CVE-2022-3916 の OS トラッカー

vendor	priority	summary	link
`redhat`	medium	—	https://access.redhat.com/security/cve/CVE-2022-3916

vendor

priority

summary

link

redhat

medium

—

https://access.redhat.com/security/cve/CVE-2022-3916

CVE-2022-3916 の影響を受けるソフトウェア／構成

ベンダー	製品	バージョン	生の CPE
redhat	keycloak	< 20.0.2	cpe:2.3:a:redhat:keycloak::::::::
redhat	single_sign-on	—	cpe:2.3:a:redhat:single_sign-on:-::::text-only:::
redhat	single_sign-on	7.6	cpe:2.3:a:redhat:single_sign-on:7.6:::::::*
redhat	openshift_container_platform	4.9	cpe:2.3:a:redhat:openshift_container_platform:4.9:::::::*
redhat	openshift_container_platform	4.10	cpe:2.3:a:redhat:openshift_container_platform:4.10:::::::*
redhat	openshift_container_platform_for_linuxone	4.9	cpe:2.3:a:redhat:openshift_container_platform_for_linuxone:4.9:::::::*
redhat	openshift_container_platform_for_linuxone	4.10	cpe:2.3:a:redhat:openshift_container_platform_for_linuxone:4.10:::::::*
redhat	openshift_container_platform_for_power	4.9	cpe:2.3:a:redhat:openshift_container_platform_for_power:4.9:::::::*
redhat	openshift_container_platform_for_power	4.10	cpe:2.3:a:redhat:openshift_container_platform_for_power:4.10:::::::*
redhat	openshift_container_platform_ibm_z_systems	4.9	cpe:2.3:a:redhat:openshift_container_platform_ibm_z_systems:4.9:::::::*
redhat	openshift_container_platform_ibm_z_systems	4.10	cpe:2.3:a:redhat:openshift_container_platform_ibm_z_systems:4.10:::::::*

CVE-2022-3916 の参考情報

URL	タグ
https://access.redhat.com/errata/RHSA-2022:8961	Vendor Advisory
https://access.redhat.com/errata/RHSA-2022:8962	Vendor Advisory
https://access.redhat.com/errata/RHSA-2022:8963	Vendor Advisory
https://access.redhat.com/errata/RHSA-2022:8964	Vendor Advisory
https://access.redhat.com/errata/RHSA-2022:8965	Vendor Advisory
https://access.redhat.com/errata/RHSA-2023:1043	Vendor Advisory
https://access.redhat.com/errata/RHSA-2023:1044	Vendor Advisory
https://access.redhat.com/errata/RHSA-2023:1045	Vendor Advisory
https://access.redhat.com/errata/RHSA-2023:1047	Vendor Advisory
https://access.redhat.com/errata/RHSA-2023:1049	Vendor Advisory
https://access.redhat.com/security/cve/CVE-2022-3916	Vendor Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2141404	Issue Tracking Vendor Advisory

URL

タグ

https://access.redhat.com/errata/RHSA-2022:8961

Vendor Advisory

https://access.redhat.com/errata/RHSA-2022:8962

Vendor Advisory

https://access.redhat.com/errata/RHSA-2022:8963

Vendor Advisory

https://access.redhat.com/errata/RHSA-2022:8964

Vendor Advisory

https://access.redhat.com/errata/RHSA-2022:8965

Vendor Advisory