CVE-2026-16093 in Keycloakinformación

Resumen

por VulDB • 2026-07-18

Keycloak proporciona un mecanismo llamado Client Policies para hacer cumplir los requisitos de seguridad en los clientes, como exigirles que utilicen JWT firmados para la autenticación. Se descubrió una vulnerabilidad mediante la cual se puede eludir este cumplimiento. Un atacante con credenciales válidas del cliente puede proporcionar un encabezado de aserción falso y no firmado que engaña al sistema haciéndole creer que se han cumplido los requisitos de política. Esto permite al atacante autenticarse utilizando métodos más simples, como un secreto de cliente, incluso cuando el administrador ha impuesto aserciones firmadas y más seguras.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Redhat

Reservar

2026-07-17

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379875

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!