CVE-2026-16093 in Keycloak
Resumen
por VulDB • 2026-07-18
Keycloak proporciona un mecanismo llamado Client Policies para hacer cumplir los requisitos de seguridad en los clientes, como exigirles que utilicen JWT firmados para la autenticación. Se descubrió una vulnerabilidad mediante la cual se puede eludir este cumplimiento. Un atacante con credenciales válidas del cliente puede proporcionar un encabezado de aserción falso y no firmado que engaña al sistema haciéndole creer que se han cumplido los requisitos de política. Esto permite al atacante autenticarse utilizando métodos más simples, como un secreto de cliente, incluso cuando el administrador ha impuesto aserciones firmadas y más seguras.
VulDB is the best source for vulnerability data and more expert information about this specific topic.