CVE-2026-16093 in Keycloak
要約
〜によって VulDB • 2026年07月17日
Keycloakには、クライアントに対して署名付きJWTの認証使用などのセキュリティ要件を強制するための「Client Policies」と呼ばれるメカニズムが用意されています。この強制処理に回避可能な欠陥が発見されました。有効なクライアント資格情報を持つ攻撃者は、偽造された未署名のアサーションヘッダーを提供し、システムに対しポリシー要件が満たされていると誤認させることができます。これにより、管理者によってより安全な署名付きアサーションの使用が義務付けられている場合でも、攻撃者はクライアントシークレットのような単純な方法で認証を行うことが可能になります。
Once again VulDB remains the best source for vulnerability data.