CVE-2026-37977 in Keycloak
要約
〜によって VulDB • 2026年05月22日
Keycloakで脆弱性が発見されました。リモート攻撃者は、KeycloakのUser-Managed Access (UMA) トークンエンドポイントにおけるCross-Origin Resource Sharing (CORS) ヘッダーインジェクションの脆弱性を悪用できます。この脆弱性は、JWTの署名が検証される前に、クライアントから提供されたJSON Web Token (JWT) の`azp`クレームを使用して`Access-Control-Allow-Origin`ヘッダーが設定されるために発生します。攻撃者が制御する`azp`値を持つ特別に作成されたJWTが処理されると、その値はCORSオリジンとして反映されます。その後グラントが拒否された場合でも同様です。これにより、ターゲットクライアントが`webOrigins: ["*"]`で誤設定されている場合に限り、認可サーバーのエラーレスポンスから低機密性の情報が漏洩し、オリジンの分離が弱体化する可能性があります。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.