CVE-2026-16093 in Keycloak
الملخص
بحسب VulDB • 18/07/2026
توفر Keycloak آلية تسمى "سياسات العملاء" (Client Policies) لفرض متطلبات الأمان على العملاء، مثل اشتراط استخدام توكنات JWT الموقعة للمصادقة. تم اكتشاف عيب يسمح بتجاوز هذا الإنفاذ. يمكن لمهاجم يمتلك بيانات اعتماد عميل صالحة تقديم رأس تأكيد مزيف وغير موقع ليخدع النظام ليعتقد أن متطلبات السياسة قد تمت استيفاؤها. يتيح ذلك للمهاجم إجراء عملية مصادقة باستخدام طرق أبسط مثل سر العميل (client secret)، حتى عندما يكون المسؤول قد فرض استخدام تأكيدات أكثر أمانًا وموقعة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.