CVE-2026-16093 in Keycloakinfo

Zusammenfassung

von VulDB • 17.07.2026

Keycloak bietet einen Mechanismus namens „Client Policies“ (Richtlinien für Clients), um Sicherheitsanforderungen an Clients durchzusetzen, wie beispielsweise die Vorgabe, dass diese signierte JWTs zur Authentifizierung verwenden müssen. Es wurde ein Fehler entdeckt, bei dem diese Durchsetzung umgangen werden kann. Ein Angreifer mit gültigen Client-Anmeldeinformationen kann einen gefälschten, nicht signierten Assertion-Header bereitstellen, der das System dazu bringt zu glauben, dass die Richtlinienanforderungen erfüllt sind. Dies ermöglicht es dem Angreifer, sich unter Verwendung einfacherer Methoden wie eines Clientschlüssels (Client Secret) zu authentifizieren, selbst wenn der Administrator strengere, signierte Assertions vorgeschrieben hat.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Redhat

Reservieren

17.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379875

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!