CVE-2026-16093 in Keycloakinformação

Sumário

de VulDB • 17/07/2026

O Keycloak fornece um mecanismo chamado Client Policies para impor requisitos de segurança aos clientes, como exigir que utilizem JWTs assinados para autenticação. Foi descoberto uma falha onde essa imposição pode ser contornada. Um atacante com credenciais válidas do cliente pode fornecer um cabeçalho de asserção falso e não assinado que engana o sistema fazendo-o acreditar que os requisitos da política foram atendidos. Isso permite ao atacante autenticar-se usando métodos mais simples, como segredo do cliente (client secret), mesmo quando o administrador exigiu asserções mais seguras e assinadas.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

Redhat

Reservar

17/07/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379875

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!