Katalog CVE

CVE-2026-23552

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W komponentach Keycloak Apache Camel występuje luka, która pozwala na obejście walidacji roszczenia iss (issuer) w tokenach JWT. Token wydany przez jeden realm Keycloak jest akceptowany przez politykę skonfigurowaną dla zupełnie innego realm, co narusza izolację najemców.

Ocena ryzyka

Luka ta może prowadzić do nieautoryzowanego dostępu do zasobów w różnych realmach, co zagraża bezpieczeństwu danych i izolacji użytkowników w organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 4.18.0, która naprawia tę lukę.

Oryginalny opis (angielski, źródło NVD)

Cross-Realm Token Acceptance Bypass in KeycloakSecurityPolicy Apache Camel Keycloak component.  The Camel-Keycloak KeycloakSecurityPolicy does not validate the iss (issuer) claim of JWT tokens against the configured realm. A token issued by one Keycloak realm is silently accepted by a policy configured for a completely different realm, breaking tenant isolation. This issue affects Apache Camel: from 4.15.0 before 4.18.0. Users are recommended to upgrade to version 4.18.0, which fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS