CVE-2026-23552
CriticalSummary
W komponentach Keycloak Apache Camel występuje luka, która pozwala na obejście walidacji roszczenia iss (issuer) w tokenach JWT. Token wydany przez jeden realm Keycloak jest akceptowany przez politykę skonfigurowaną dla zupełnie innego realm, co narusza izolację najemców.
Risk Assessment
Luka ta może prowadzić do nieautoryzowanego dostępu do zasobów w różnych realmach, co zagraża bezpieczeństwu danych i izolacji użytkowników w organizacji.
Recommendation
Zaleca się aktualizację do wersji 4.18.0, która naprawia tę lukę.
Original NVD description (English source)
Cross-Realm Token Acceptance Bypass in KeycloakSecurityPolicy Apache Camel Keycloak component. The Camel-Keycloak KeycloakSecurityPolicy does not validate the iss (issuer) claim of JWT tokens against the configured realm. A token issued by one Keycloak realm is silently accepted by a policy configured for a completely different realm, breaking tenant isolation. This issue affects Apache Camel: from 4.15.0 before 4.18.0. Users are recommended to upgrade to version 4.18.0, which fixes the issue.

