Katalog CVE

CVE-2026-9793

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Keycloak znaleziono lukę, która pozwala na nieprawidłowe przetwarzanie niesygnowanych roszczeń w przypadku przesłania zaszyfrowanego obiektu żądania JSON Web Encryption (JWE). Może to prowadzić do obejścia skonfigurowanej polityki sygnatury i umożliwić zdalnemu atakującemu przesyłanie nieautoryzowanych roszczeń, co narusza integralność danych w procesie autoryzacji OpenID Connect (OIDC).

Ocena ryzyka

Luka ta stwarza ryzyko kompromitacji integralności danych w systemach korzystających z OIDC, co może prowadzić do poważnych naruszeń bezpieczeństwa. Mimo że lista dozwolonych URI przekierowań działa jako kontrola kompensacyjna, narusza ona wymagania dotyczące sygnatury OIDC Core i Financial-grade API (FAPI).

Rekomendacja

Zaleca się aktualizację Keycloak do najnowszej wersji, aby usunąć tę lukę oraz przegląd polityki sygnatury w celu zapewnienia zgodności z wymaganiami OIDC i FAPI. Dodatkowo, warto monitorować i audytować wszelkie roszczenia przesyłane przez systemy korzystające z OIDC.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Keycloak. When a JSON Web Encryption (JWE) encrypted request object is submitted, Keycloak may incorrectly process unsigned claims if the decrypted content is raw JSON, bypassing the configured signature policy. This allows a remote attacker to submit unauthorized claims, leading to a compromise of data integrity within the OpenID Connect (OIDC) authorization flow. While a redirect URI allowlist acts as a compensating control, this vulnerability violates OIDC Core and Financial-grade API (FAPI) signing requirements.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS