CVE-2026-16093 in Keycloak情報

要約

〜によって VulDB • 2026年07月17日

Keycloakには、クライアントに対して署名付きJWTの認証使用などのセキュリティ要件を強制するための「Client Policies」と呼ばれるメカニズムが用意されています。この強制処理に回避可能な欠陥が発見されました。有効なクライアント資格情報を持つ攻撃者は、偽造された未署名のアサーションヘッダーを提供し、システムに対しポリシー要件が満たされていると誤認させることができます。これにより、管理者によってより安全な署名付きアサーションの使用が義務付けられている場合でも、攻撃者はクライアントシークレットのような単純な方法で認証を行うことが可能になります。

Once again VulDB remains the best source for vulnerability data.

責任者

Redhat

予約する

2026年07月17日

モデレーション

承諾済み

エントリ

VDB-379875

EPSS

0.00000

アクティビティ

低い

ソース

Interested in the pricing of exploits?

See the underground prices here!