CVE-2026-1524

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-1524
An edgecase in SSO implementation in Neo4j Enterprise edition versions prior to version 2026.02 can lead to unauthorised access under the following conditions: If a neo4j admin configures two or more OIDC providers AND configures one or more of them to be an authorization provider AND configures one or more of them to be authentication-only, then those that are authentication-only will also provide authorization. This edgecase becomes a security problem only if the authentication-only provider contains groups which have higher privileges than provided by the intended (configured) authorization provider. When using multiple plugins for authentication and authorisation, prior to the fix the issue could lead to a plugin configured to provide only authentication or authorisation capabilities erroneously providing both capabilities.  We recommend upgrading to versions 2026.02 (or 5.26.22) where the issue is fixed.

9.8 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://neo4j.com/security/CVE-2026-1524 Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:neo4j:neo4j:*:*:*:*:enterprise:*:*:*
cpe:2.3:a:neo4j:neo4j:*:*:*:*:enterprise:*:*:*
History

22 May 2026, 13:23

Type Values Removed Values Added
References () https://neo4j.com/security/CVE-2026-1524 - () https://neo4j.com/security/CVE-2026-1524 - Vendor Advisory
CPE cpe:2.3:a:neo4j:neo4j:*:*:*:*:enterprise:*:*:*
Summary
  • (es) Un caso límite en la implementación de SSO en versiones de Neo4j Enterprise edition anteriores a la versión 2026.02 puede llevar a un acceso no autorizado bajo las siguientes condiciones: Si un administrador de Neo4j configura dos o más proveedores OIDC Y configura uno o más de ellos como proveedor de autorización Y configura uno o más de ellos para ser solo de autenticación, entonces aquellos que son solo de autenticación también proporcionarán autorización. Este caso límite se convierte en un problema de seguridad solo si el proveedor solo de autenticación contiene grupos que tienen privilegios más altos que los proporcionados por el proveedor de autorización previsto (configurado). Al usar múltiples plugins para autenticación y autorización, antes de la corrección, el problema podría llevar a que un plugin configurado para proporcionar solo capacidades de autenticación o autorización proporcionara erróneamente ambas capacidades. Recomendamos actualizar a las versiones 2026.02 (o 5.26.22) donde el problema está corregido.
First Time Neo4j
Neo4j neo4j
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 9.8

11 Mar 2026, 17:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-11 17:16

Updated : 2026-05-22 13:23

NVD link : CVE-2026-1524

Mitre link : CVE-2026-1524

CVE.ORG link : CVE-2026-1524

JSON object : View

Products Affected

neo4j

  • neo4j
CWE
CWE-287

Improper Authentication

CWE-863

Incorrect Authorization